PT-2026-30859 · Unknown+1 · Superbooga+3
Programsurf
+2
·
Publicado
2026-04-07
·
Atualizado
2026-04-07
·
CVE-2026-35486
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Name of the Vulnerable Software and Affected Versions
text-generation-webui versões anteriores a 4.3
Description
text-generation-webui é uma interface web de código aberto para executar Modelos de Linguagem Grandes. As extensões superbooga e superboogav2 RAG, em versões anteriores a 4.3, recuperam URLs fornecidos pelo usuário usando
requests.get() sem nenhuma validação. Isso inclui a falta de verificação de esquema, filtragem de IP ou lista de permissões de nome de host. Isso permite que um invasor acesse endpoints de metadados de nuvem, potencialmente roubando credenciais de IAM e sondando serviços internos. O conteúdo recuperado é então exfiltrado através do pipeline RAG.Recommendations
Atualize para a versão 4.3 ou posterior.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Requests
Superbooga
Superboogav2
Text-Generation-Webui