CVE-2026-63086 in text-generation-inference
Sumário
de VulDB • 16/07/2026
text-generation-inference até a versão 3.3.7 contém uma vulnerabilidade de Server-Side Request Forgery (SSRF) no endpoint de conclusões multimodais compatível com OpenAI, que permite que atacantes não autenticados na rede forcem o servidor a emitir requisições HTTP GET arbitrárias ao fornecer um valor image_url manipulado ad hoc no conteúdo da mensagem do chat. A função fetch_image em router/src/validation.rs não realiza validação de endereços de destino privados, loopback, link-local ou metadados de nuvem, e o cliente HTTP reqwest segue redirecionamentos por padrão, permitindo que os atacantes contornem verificações de esquema através de cadeias de redirecionamento para alcançar serviços internos e endpoints de instância-metadata da nuvem para varredura interna de portas e roubo de credenciais.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.