text-generation-webui — это веб-интерфейс с открытым исходным кодом для запуска больших языковых моделей. До версии 4.3 уязвимость обхода пути без аутентификации в load_prompt() позволяла читать любой файл .txt в файловой системе сервера. Содержимое файла возвращается в ответе API дословно.
Эта уязвимость исправлена в версии 4.3.
Показать оригинальное описание (EN)
text-generation-webui is an open-source web interface for running Large Language Models. Prior to 4.3, an unauthenticated path traversal vulnerability in load_prompt() allows reading any .txt file on the server filesystem. The file content is returned verbatim in the API response. This vulnerability is fixed in 4.3.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Oobabooga Text_Generation_Web_Ui
cpe:2.3:a:oobabooga:text_generation_web_ui:*:*:*:*:*:*:*:*
|
— |
4.3
|