Katalog CVE

CVE-2025-12488

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność CVE-2025-12488 dotyczy oprogramowania oobabooga text-generation-webui, które pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru trust_remote_code przed jego użyciem do ładowania modelu.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do przejęcia kontroli nad usługą, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący nie potrzebują autoryzacji, co zwiększa ryzyko.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów walidacji dla parametrów użytkownika oraz ograniczenie możliwości zdalnego wykonywania kodu. Należy również rozważyć aktualizację oprogramowania do najnowszej wersji, aby załatać tę podatność.

Oryginalny opis (angielski, źródło NVD)

oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the load endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. . Was ZDI-CAN-26680.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS