JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-010800 text-generation-webuiは、大規模言語モデルを実行するためのオープンソースのウェブインターフェースです。バージョン4.3より前のものには、load_prompt()に認証なしのパストラバーサル脆弱性が存在し、サーバーファイルシステム上の任意の.txtファイルを読み取ることが可能でした。ファイルの内容はAPIレスポンスにそのまま返されます。この脆弱性はバージョン4.3で修正されています。 cpe:/a:oobabooga:text_generation_web_ui https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-010800.html Common Vulnerabilities and Exposures (CVE) CVE-2026-35487 https://www.cve.org/CVERecord?id=CVE-2026-35487 National Vulnerability Database (NVD) CVE-2026-35487 https://nvd.nist.gov/vuln/detail/CVE-2026-35487 GitHub CWE-22 Path Traversal in load_prompt() — .txt file read without authentication Advisory oobabooga/text-generation-webui GitHub https://github.com/oobabooga/text-generation-webui/security/advisories/GHSA-mfgg-vvc6-vqq7 JVNDB CWE-22 https://jvndb.jvn.jp/ja/cwe/CWE-22.html 2026-04-13T12:23:02+09:00 2026-04-13T12:23:02+09:00