CVE-2026-33340 in lollms-webuithông tin

Tóm tắt

Bởi VulDB • 09/05/2026

LoLLMs WEBUI cung cấp giao diện người dùng web cho Lord of Large Language and Multi modal Systems. Một lỗ hổng Server-Side Request Forgery (SSRF) nghiêm trọng đã được xác định trong tất cả các phiên bản hiện có của `lollms-webui`. Điểm cuối `@router.post("/api/proxy")` cho phép các kẻ tấn công chưa xác thực buộc máy chủ thực hiện các yêu cầu GET tùy ý. Lỗ hổng này có thể bị khai thác để truy cập các dịch vụ nội bộ, quét mạng cục bộ hoặc đánh cắp dữ liệu nhạy cảm từ metadata đám mây (ví dụ: mã thông báo IAM của AWS/GCP). Tính đến thời điểm công bố, chưa có phiên bản đã vá nào được biết đến.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

18/03/2026

Tiết lộ

24/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.21629

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!