A Cross-Site Request Forgery (CSRF) vulnerability exists in mudler/LocalAI versions up to and including 2.15.0, which allows attackers to trick victims into deleting installed models. By crafting a malicious HTML page, an attacker can cause the deletion of a model, such as 'gpt-4-vision-preview', without the victim's consent. The vulnerability is due to insufficient CSRF protection mechanisms on the model deletion functionality.
Existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en las versiones de mudler/LocalAI hasta la 2.15.0 incluida, que permite a los atacantes engañar a las víctimas para que eliminen los modelos instalados. Al crear una página HTML maliciosa, un atacante puede provocar la eliminación de un modelo, como 'gpt-4-vision-preview', sin el consentimiento de la víctima. La vulnerabilidad se debe a mecanismos de protección CSRF insuficientes en la funcionalidad de eliminación del modelo.
