CVE-2026-35050
CriticalSummary
Podatność w text-generation-webui przed wersją 4.1.1 pozwala użytkownikom na zapisywanie ustawień rozszerzeń w formacie 'py' w katalogu głównym aplikacji. To umożliwia nadpisywanie plików Pythona, co może prowadzić do wykonania złośliwego kodu.
Risk Assessment
Organizacje mogą być narażone na wykonanie nieautoryzowanego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Recommendation
Zaleca się aktualizację do wersji 4.1.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Original NVD description (English source)
text-generation-webui is an open-source web interface for running Large Language Models. Prior to 4.1.1, users can save extention settings in "py" format and in the app root directory. This allows to overwrite python files, for instance the "download-model.py" file could be overwritten. Then, this python file can be triggered to get executed from "Model" menu when requesting to download a new model. This vulnerability is fixed in 4.1.1.

