CVE-2025-12488
CriticalSummary
Podatność CVE-2025-12488 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do ładowania modelu.
Risk Assessment
Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad usługą, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący nie potrzebują autoryzacji, co zwiększa ryzyko.
Recommendation
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji dla parametrów użytkownika oraz ograniczenie możliwości zdalnego wykonywania kodu. Należy również rozważyć aktualizację oprogramowania do najnowszej wersji, aby załatać tę podatność.
Original NVD description (English source)
oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the load endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. . Was ZDI-CAN-26680.

