Podatność w aplikacji oobabooga text-generation-webui umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu na zaatakowanym systemie. Brak wymagania uwierzytelnienia i wysoka ocena CVSS 9.8 czynią tę lukę wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the join endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-26681.
Błąd tkwi w obsłudze parametru trust_remote_code przekazywanego do endpointu join. Aplikacja nie weryfikuje w odpowiedni sposób wartości dostarczonej przez użytkownika przed użyciem jej do załadowania modelu. Atakujący może przesłać spreparowany parametr, wymuszając załadowanie złośliwego kodu w kontekście konta serwisowego, pod którym działa usługa.
Atakujący może wykonać dowolny kod w kontekście konta serwisowego, co może prowadzić do pełnego przejęcia systemu, wycieku danych lub dalszego lateral movement w sieci.
Należy zaktualizować oobabooga text-generation-webui do wersji zawierającej poprawkę wprowadzoną commitem b5a6904c4ac4049823396090360b6f566f4e4603. Szczegóły dostępne w referencjach producenta oraz w doradztwie ZDI-25-982.
Instalacje oobabooga text-generation-webui — konkretne wersje wskazane w referencjach producenta (commit b5a6904c4ac4049823396090360b6f566f4e4603 na GitHub).
Podatność została zidentyfikowana przez Zero Day Initiative jako ZDI-CAN-26681 i opublikowana jako ZDI-25-982.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H