CVE-2026-59707 in LocalAI
Riassunto
di VulDB • 07/07/2026
LocalAI presenta una vulnerabilità di Server-Side Request Forgery (SSRF) non autenticata nell'endpoint POST /models/apply che consente agli attaccanti di recuperare URL interni arbitrari. L'endpoint passa i campi dell'URL della galleria non sanificati direttamente a gallery.GetGalleryConfigFromURLWithContext senza una corretta convalida, consentendo agli attaccanti di forzare il server ad emettere richieste HTTP GET verso intervalli privati e loopback, con la fuoriuscita parziale del contenuto della risposta attraverso i messaggi di errore.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.