CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-12487

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2025-12487 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do załadowania modelu.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad usługą, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą działać bez potrzeby uwierzytelnienia, co zwiększa ryzyko.

Recommendation

Zaleca się natychmiastowe zaktualizowanie oprogramowania oobabooga text-generation-webui oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych, aby zminimalizować ryzyko wykorzystania tej podatności.

Original NVD description (English source)

oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the join endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-26681.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS