CVE-2026-48797

Published: Giu 17, 2026 Last Modified: Giu 17, 2026

ExploitDB:

Other exploit source:

Google Dorks:

Description

AI Translation Available

Backpropagate is a Python library for fine-tuning large language models on a single GPU. In versions 1.1.0 and 1.1.1, the optional Reflex web UI exposes a training control plane without authentication: dataset upload, model load, training start/stop, multi-run orchestration, GGUF export, and HuggingFace Hub push. The CLI accepts two operator-facing flags intended as security controls: --auth user:pass — documented as 'require HTTP Basic authentication on every request to the UI.' and--share — documented as 'expose the UI on a public address; requires --auth.' When --auth user:pass is passed, the CLI prints Auth: enabled (user: <username>) to confirm to the operator that authentication is active, then exports BACKPROPAGATE_UI_AUTH=user:pass to the subprocess that launches the Reflex backend. The Reflex backend (backpropagate/ui_app/**) never reads BACKPROPAGATE_UI_AUTH. No authentication middleware is registered. No request-level guard runs. No WebSocket upgrade guard runs. Any client that reaches the bound port — local or remote, depending on whether --share is used — has full UI access. An inline comment at backpropagate/cli.py:1217-1218 in the v1.1.0 source documents the gap: 'For Phase 1 the variable is exported but Reflex doesn't read it yet.' This comment was internal-facing; the user-facing documentation (README, CHANGELOG, SHIP_GATE) advertised the contract as enforced. An attacker who reaches the bound port can read uploaded datasets, trigger arbitrary training runs against any local base models as well as read their paths, trigger HuggingFace Hub pushes and cause disk-fill DoS. This issue has been fixed in version 1.2.0. If developers cannot immediately upgrade to 1.2.0 run backprop ui with no flags so it binds to localhost, use SSH port-forwarding (ssh -L 7860:localhost:7860 <training-host>) instead of --share for remote access, and audit any host previously launched with --share, re-issuing any HF tokens used during those sessions.

AI Generated Translation

Backpropagate è una libreria Python per il fine-tuning di grandi modelli linguistici su una singola GPU. Nelle versioni 1.1.0 e 1.1.1, l'interfaccia web opzionale Reflex espone un piano di controllo dell'addestramento senza autenticazione: caricamento dataset, caricamento modello, avvio/stop dell'addestramento, orchestrazione di multi-run, esportazione GGUF e push su HuggingFace Hub. La CLI accetta due flag rivolti all'operatore destinati come controlli di sicurezza: --auth user:pass — documentato come "richiede autenticazione HTTP Basic su ogni richiesta all'UI" e --share — documentato come "esponi l'UI su un indirizzo pubblico; richiede --auth". Quando viene passato --auth user:pass, la CLI stampa Auth: enabled (user: <username>) per confermare all'operatore che l'autenticazione è attiva, quindi esporta BACKPROPAGATE_UI_AUTH=user:pass nel sottoprocesso che avvia il backend Reflex. Il backend Reflex (backpropagate/ui_app/**) non legge mai BACKPROPAGATE_UI_AUTH. Non viene registrato alcun middleware di autenticazione. Nessun guardiano a livello di richiesta viene eseguito. Nessun guardiano di upgrade WebSocket viene eseguito. Qualsiasi client che raggiunge la porta bindata — locale o remota, a seconda che --share sia usato — ha pieno accesso all'UI. Un commento inline in backpropagate/cli.py:1217-1218 nel codice sorgente v1.1.0 documenta questa lacuna: "Per la Fase 1 la variabile viene esportata ma Reflex non la legge ancora." Questo commento era interno; la documentazione rivolta all'utente (README, CHANGELOG, SHIP_GATE) pubblicizzava il contratto come enforce. Un attaccante che raggiunge la porta bindata può leggere i dataset caricati, attivare esecuzioni di addestramento arbitrarie contro qualsiasi modello di base locale, leggere i loro percorsi, attivare push su HuggingFace Hub e causare un DoS di fill disk. Questo problema è stato risolto nella versione 1.2.0. Se gli sviluppatori non possono aggiornare immediatamente a 1.2.0, devono eseguire backprop ui senza flag in modo che si bindi a localhost, usare port-forwarding SSH (ssh -L 7860:localhost:7860 <training-host>) invece di --share per accesso remoto, e verificare qualsiasi host precedentemente lanciato con --share, ri-issuing qualsiasi token HF usato durante quelle sessioni.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0044

Percentile

0,3th

Updated

Single Data Point

Only one EPSS measurement is available for this CVE. Trend analysis requires multiple data points over time.

CVE-2026-48797

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

Single Data Point

Iscriviti alla newsletter