发布日期：2024-07-05
更新日期：2024-09-02

受影响系统：

mudler/LocalAI mudler/LocalAI <= 2.15.0

描述：

---

CVE(CAN) ID: CVE-2024-5616

LocalAI是Ettore Di Giacinto个人开发者的一个免费的、开源的OpenAI替代方案。
mudler/LocalAI 2.15.0及之前版本存在跨站请求伪造漏洞，该漏洞源于程序未对模型删除功能实施CSRF保护机制，攻击者可利用该漏洞通过恶意HTML页面诱导用户在无需其同意的情况下删除安装的模型。

<**>

建议：

---

厂商补丁：

mudler/LocalAI
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/mudler/localai/commit/4e1463fec291612a59a16db60b3fd12d4c49d64b

浏览次数：134
严重程度：0（网友投票）