Katalog CVE

CVE-2026-35050

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w text-generation-webui przed wersją 4.1.1 pozwala użytkownikom na zapisywanie ustawień rozszerzeń w formacie 'py' w katalogu głównym aplikacji. To umożliwia nadpisywanie plików Pythona, co może prowadzić do wykonania złośliwego kodu.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie nieautoryzowanego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 4.1.1 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

text-generation-webui is an open-source web interface for running Large Language Models. Prior to 4.1.1, users can save extention settings in "py" format and in the app root directory. This allows to overwrite python files, for instance the "download-model.py" file could be overwritten. Then, this python file can be triggered to get executed from "Model" menu when requesting to download a new model. This vulnerability is fixed in 4.1.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS