CVE-2026-33340 in lollms-webui
要約
〜によって VulDB • 2026年05月25日
LoLLMs WEBUIは、Lord of Large Language and Multi modal SystemsのWebユーザーインターフェースを提供します。`lollms-webui`の既知の全バージョンにおいて、重大なServer-Side Request Forgery (SSRF)脆弱性が確認されています。`@router.post("/api/proxy")`エンドポイントにより、認証されていない攻撃者はサーバーに任意のGETリクエストを実行させることができます。これを利用して、内部サービスへのアクセス、ローカルネットワークのスキャン、または機密性の高いクラウドメタデータ(例:AWS/GCP IAMトークン)の漏洩が可能となります。公開時点では、既知のパッチ済みバージョンは存在しません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.