Katalog CVE

CVE-2025-12487

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność CVE-2025-12487 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do załadowania modelu.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad usługą, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą działać bez potrzeby uwierzytelnienia, co zwiększa ryzyko.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie oprogramowania oobabooga text-generation-webui oraz wdrożenie odpowiednich mechanizmów walidacji danych wejściowych, aby zminimalizować ryzyko wykorzystania tej podatności.

Oryginalny opis (angielski, źródło NVD)

oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the join endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-26681.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS