CVE-2026-63086 in text-generation-inferenceinformação

Sumário

de VulDB • 16/07/2026

text-generation-inference até a versão 3.3.7 contém uma vulnerabilidade de Server-Side Request Forgery (SSRF) no endpoint de conclusões multimodais compatível com OpenAI, que permite que atacantes não autenticados na rede forcem o servidor a emitir requisições HTTP GET arbitrárias ao fornecer um valor image_url manipulado ad hoc no conteúdo da mensagem do chat. A função fetch_image em router/src/validation.rs não realiza validação de endereços de destino privados, loopback, link-local ou metadados de nuvem, e o cliente HTTP reqwest segue redirecionamentos por padrão, permitindo que os atacantes contornem verificações de esquema através de cadeias de redirecionamento para alcançar serviços internos e endpoints de instância-metadata da nuvem para varredura interna de portas e roubo de credenciais.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

VulnCheck

Reservar

15/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379599

CPE

pronto

EPSS

0.00323

KEV

não

Atividades

médio

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!