CRITICAL🇬🇧 English

CVE-2025-12487

RCE w oobabooga text-generation-webui przez parametr trust_remote_code

CVSS 9.8v3.0pub. 2025-11-06upd. 2026-04-15

Podatność w aplikacji oobabooga text-generation-webui umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu na zaatakowanym systemie. Brak wymagania uwierzytelnienia i wysoka ocena CVSS 9.8 czynią tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

oobabooga text-generation-webui trust_remote_code Reliance on Untrusted Inputs Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of oobabooga text-generation-webui. Authentication is not required to exploit this vulnerability. The specific flaw exists within the handling of the trust_remote_code parameter provided to the join endpoint. The issue results from the lack of proper validation of a user-supplied argument before using it to load a model. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-26681.

🤖 Analiza AI
Jak działa

Błąd tkwi w obsłudze parametru trust_remote_code przekazywanego do endpointu join. Aplikacja nie weryfikuje w odpowiedni sposób wartości dostarczonej przez użytkownika przed użyciem jej do załadowania modelu. Atakujący może przesłać spreparowany parametr, wymuszając załadowanie złośliwego kodu w kontekście konta serwisowego, pod którym działa usługa.

Skutki

Atakujący może wykonać dowolny kod w kontekście konta serwisowego, co może prowadzić do pełnego przejęcia systemu, wycieku danych lub dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować oobabooga text-generation-webui do wersji zawierającej poprawkę wprowadzoną commitem b5a6904c4ac4049823396090360b6f566f4e4603. Szczegóły dostępne w referencjach producenta oraz w doradztwie ZDI-25-982.

Kogo dotyczy

Instalacje oobabooga text-generation-webui — konkretne wersje wskazane w referencjach producenta (commit b5a6904c4ac4049823396090360b6f566f4e4603 na GitHub).

Uwagi

Podatność została zidentyfikowana przez Zero Day Initiative jako ZDI-CAN-26681 i opublikowana jako ZDI-25-982.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje
CVE-2025-12487 — RCE w oobabooga text-generation-webui przez parametr trust_remote_code — CRITICAL 9.8 | CVEbaza.pl