anonhaven

CVE-2026-35484

MEDIUM CVSS 3.1: 5,3 EPSS 0.06%
Обновлено 7 апреля 2026
text-generation-webui
Параметр Значение
CVSS 5,3 (MEDIUM)
Устранено в версии 4.3
Тип уязвимости CWE-22 (Обход пути)
Поставщик text-generation-webui
Публичный эксплойт Нет

text-generation-webui — это веб-интерфейс с открытым исходным кодом для запуска больших языковых моделей. До версии 4.3 уязвимость обхода пути без аутентификации в load_preset() позволяла читать любой файл .yaml в файловой системе сервера. Проанализированные пары ключ-значение YAML (включая пароли, ключи API, строки подключения) возвращаются в ответе API.

Эта уязвимость исправлена ​​в версии 4.3.

Показать оригинальное описание (EN)

text-generation-webui is an open-source web interface for running Large Language Models. Prior to 4.3, an unauthenticated path traversal vulnerability in load_preset() allows reading any .yaml file on the server filesystem. The parsed YAML key-value pairs (including passwords, API keys, connection strings) are returned in the API response. This vulnerability is fixed in 4.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-22 Path Traversal (Обход пути)

Ссылки 1

https://github.com/oobabooga/text-generation-webui/security/advisories/GHSA-w3c…
security-advisories@github.com
Share Post Share Share Share