Informazioni sul CVE-2024-3135
Cross-Site Request Forgery (CSRF) Vulnerability in mudler/localai
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-3135
Descrizione: Una vulnerabilità Cross-Site Request Forgery (CSRF) esiste nell’applicazione mudler/localai, consentendo agli attaccanti di creare pagine malevole che, quando visitate da un utente, eseguono azioni non autorizzate sul suo ambiente locale LocalAI senza il suo consenso. Questa vulnerabilità consente agli attaccanti di esaurire le risorse del sistema, consumare crediti e riempire lo spazio su disco attraverso la creazione di numerosi chiamate API intensive, come la generazione di immagini o l’upload di file. La vulnerabilità deriva dall’accettazione di tipi di richiesta semplici senza richiedere token CSRF o implementare altre misure di mitigazione CSRF. L’exploitation non richiede accesso di rete all’ambiente LocalAI vulnerabile.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- mudler – mudler/localai
Relazioni con altri prodotti
Produttore:mudler
Prodotto: mudler/localai
Anno: 2024
CWE: CWE-352
CVSS: 0.0