CVE-2026-33340: Kritische SSRF-Lücke in LoLLMs WEBUI von ParisNeo
⚠️ CVE-Referenzen:
CVE-2026-33340
Zusammenfassung
Eine schwerwiegende Sicherheitslücke in LoLLMs WEBUI ermöglicht es unauthentifizierten Angreifern, auf interne Dienste zuzugreifen, das Netzwerk zu scannen und möglicherweise sensible Cloud-Metadaten, einschließlich AWS- oder GCP-IAM-Token, abzugreifen. Bisher wurde kein Patch veröffentlicht, um dieses Risiko zu mindern.
Parisneo - Lollms-webui - CRITICAL - CVE-2026-33340.
A significant vulnerability exists in LoLLMs WEBUI, allowing unauthenticated attackers to exploit the `@router.post("/api/proxy")` endpoint. This SSRF vulnerability enables unauthorized access to internal services, network scanning, and potentially exfiltration of sensitive cloud metadata, including AWS or GCP IAM tokens. As of the latest update, no patches have been released to mitigate this risk.
Quelle: securityvulnerability.io