A vulnerability was detected in lm-sys fastchat up to 0.2.36. Impacted is the function add_text of the component Arena Side-by-Side View Handler. The manipulation results in incorrect control flow. The attack can be launched remotely. The exploit is now public and may be used. The root cause was fixed in commit 34eca62 for gradio_block_arena_named.py, but three other files were missed.
A control flow vulnerability exists in lm-sys fastchat versions up to 0.2.36 affecting the Arena Side-by-Side View Handler's add_text function, allowing remote exploitation. The vulnerability was partially patched but three related files were missed, leaving systems exposed to attack.
تؤثر هذه الثغرة على مكون Arena Side-by-Side View Handler في fastchat وتسمح بتلاعب غير صحيح بتدفق التحكم عبر دالة add_text. يمكن استغلال الثغرة عن بعد وقد تم الكشف عن طريقة الاستغلال علناً. على الرغم من إصلاح جزئي في ملف واحد، لا تزال ثلاثة ملفات أخرى تحتوي على الثغرة.
A control flow vulnerability in lm-sys fastchat up to version 0.2.36 affects the Arena Side-by-Side View Handler component, enabling remote attacks through the add_text function. Although a partial fix was applied to one file, three other vulnerable files remain unpatched.
Upgrade lm-sys fastchat to version 0.2.37 or later. Apply the complete patch from commit 34eca62 to all affected files including gradio_block_arena_named.py and the three additional missed files. Review deployment logs for exploitation attempts and validate all instances are updated.
قم بترقية lm-sys fastchat إلى الإصدار 0.2.37 أو أحدث. طبق التصحيح الكامل من commit 34eca62 على جميع الملفات المتأثرة بما في ذلك gradio_block_arena_named.py والملفات الثلاثة الأخرى المفقودة. راجع سجلات النشر بحثاً عن محاولات الاستغلال والتحقق من تحديث جميع الحالات.