CVE-2024-9901

Nome do Software Vulnerável e Versões Afetadas LocalAI versão v2.19.4

Descrição O problema decorre da API de exclusão de modelo neutralizar inadequadamente a entrada durante a geração da página web, resultando em uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado. Isso permite que um atacante armazene um payload malicioso que é executado quando um usuário acessa a página inicial. A presença de Cross-Site Request Forgery (CSRF) também pode permitir solicitações maliciosas automatizadas.

Recomendações Para a versão v2.19.4 do LocalAI, considere desativar a API de exclusão de modelo até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de XSS. Restrinja o acesso à página inicial para minimizar o risco de execução de payload malicioso. Evite usar a API de exclusão de modelo em conjunto com qualquer funcionalidade que possa ser vulnerável a CSRF para prevenir solicitações maliciosas automatizadas.