CVE-2026-33340 in lollms-webui
Сводка
по VulDB • 25.05.2026
LoLLMs WEBUI предоставляет веб-интерфейс для Lord of Large Language and Multi modal Systems. Во всех известных существующих версиях `lollms-webui` обнаружена критическая уязвимость Server-Side Request Forgery (SSRF). Конечная точка `@router.post("/api/proxy")` позволяет неаутентифицированным злоумышленникам принуждать сервер выполнять произвольные GET-запросы. Это может быть использовано для доступа к внутренним службам, сканирования локальных сетей или эксфильтрации конфиденциальных метаданных облачных платформ (например, токенов IAM AWS/GCP). На момент публикации исправленные версии отсутствуют.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.