PromtEngineer localGPT до 4d41c7d1713b16b216d8e062e51a5dd88b20b054 backend/server.py do_POST эскалация привилегий
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 6.6 | $0-$5k | 2.99 |
Сводка
Зафиксирована уязвимость, классифицируемая как критический, в PromtEngineer localGPT до 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Затронута функция do_POST файла backend/server.py. Манипуляция приводит к эскалация привилегий.
Эта уязвимость проходит под номером CVE-2026-5001. Атаку можно провести дистанционно. Более того, эксплойт доступен.
Этот продукт использует модель непрерывных обновлений (rolling release) для обеспечения постоянной доставки. Поэтому информация о версиях затронутых и обновленных выпусков недоступна.
Подробности
Зафиксирована уязвимость, классифицируемая как критический, в PromtEngineer localGPT до 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Затронута функция do_POST файла backend/server.py. Манипуляция приводит к эскалация привилегий. Использование классификатора CWE для обозначения проблемы ведет к CWE-434. Слабость была опубликована. Консультация представлена на сайте github.com.
Эта уязвимость проходит под номером CVE-2026-5001. Атаку можно провести дистанционно. Технические детали доступны. Популярность этой уязвимости ниже среднего. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1608.002 для этой проблемы.
Это объявлено как Доказательство концепции. Эксплойт можно загрузить по адресу github.com.
Этот продукт использует модель непрерывных обновлений (rolling release) для обеспечения постоянной доставки. Поэтому информация о версиях затронутых и обновленных выпусков недоступна.
Продукт
Поставщик
Имя
Версия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Базовый балл: 7.3
VulDB Временная оценка: 6.6
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-434 / CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔒
Хронология
27.03.2026 Консультация опубликована27.03.2026 Запись VulDB создана
28.03.2026 Последнее обновление VulDB
Источники
Консультация: github.comСтатус: Не определено
CVE: CVE-2026-5001 (🔒)
GCVE (CVE): GCVE-0-2026-5001
GCVE (VulDB): GCVE-100-353888
EUVD: 🔒
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 27.03.2026 14:54Обновлено: 28.03.2026 19:06
Изменения: 27.03.2026 14:54 (57), 28.03.2026 19:06 (1)
Завершенный: 🔍
Отправитель: Yu_Bao
Cache ID: 216:C34:103
Отправить
принято
- Отправить #778316: PromtEngineer localGPT Latest (commit 4d41c7d) Unrestricted File Upload (по Yu_Bao)
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.