漏洞标题
在mudler/localai中的路径遍历
漏洞描述信息
在mudler/localai版本2.14.0中存在路径遍历漏洞,攻击者可以在模型删除过程中利用`model`参数进行利用以删除任意文件。具体而言,通过构造包含篡改的`model`参数的请求,攻击者可以遍历目录结构并针对位于预期目录之外的文件,从而导致敏感数据的删除。这一漏洞归因于对`model`参数的输入验证和清理不足。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Path Traversal in mudler/localai
漏洞描述信息
A path traversal vulnerability exists in mudler/localai version 2.14.0, where an attacker can exploit the `model` parameter during the model deletion process to delete arbitrary files. Specifically, by crafting a request with a manipulated `model` parameter, an attacker can traverse the directory structure and target files outside of the intended directory, leading to the deletion of sensitive data. This vulnerability is due to insufficient input validation and sanitization of the `model` parameter.
CVSS信息
N/A
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
LocalAI 路径遍历漏洞
漏洞描述信息
LocalAI是Ettore Di Giacinto个人开发者的一个免费的、开源的 OpenAI 替代方案。 LocalAI 2.14.0版本存在路径遍历漏洞,该漏洞源于存在路径遍历漏洞,攻击者可以在模型删除过程中利用model参数来删除任意文件。
CVSS信息
N/A
漏洞类别
路径遍历