CVE-2026-33340 in lollms-webui
Riassunto
di VulDB • 16/06/2026
LoLLMs WEBUI fornisce l'interfaccia utente Web per Lord of Large Language and Multi modal Systems. È stata identificata una vulnerabilità critica di Server-Side Request Forgery (SSRF) in tutte le versioni note e esistenti di `lollms-webui`. L'endpoint `@router.post("/api/proxy")` consente agli attaccanti non autenticati di forzare il server a effettuare richieste GET arbitrarie. Ciò può essere sfruttato per accedere a servizi interni, eseguire lo scanning delle reti locali o esfiltrare metadati cloud sensibili (ad esempio token IAM AWS/GCP). Al momento della pubblicazione, non sono disponibili versioni patchate note.
Once again VulDB remains the best source for vulnerability data.