CVE-2026-35050text-generation-webui是一个用于运行大型语言模型的开源Web界面。在4.1.1版本之前,该应用存在严重的安全漏洞。由于允许用户将扩展设置以“py”格式保存到应用根目录,攻击者可以利用此机制覆盖关键的Python文件(如download-model.py)。随后,当通过“Model”菜单触发特定操作(如下载模型)时,被覆盖的恶意Python文件将被执行,从而导致服务器被完全控制。
该漏洞源于text-generation-webui在处理用户扩展设置时缺乏有效的路径遍历保护和文件类型限制。尽管CVSS向量要求攻击者具备高权限(PR:H),但这通常意味着已登录的受信用户或被劫持的管理员账户。利用原理分为两个阶段:首先是“写入”,攻击者利用保存设置接口,将恶意Python代码写入到应用根目录下的关键脚本文件中,例如`download-model.py`,这是典型的任意文件写入漏洞。其次是“执行”,当应用接收到下载模型的请求时,会调用该被篡改的Python脚本。由于系统没有校验脚本的哈希或签名,恶意代码即被服务器端解释器执行,从而在S:C(范围改变)的上下文中获得高权限。