CRITICAL🇬🇧 English

CVE-2024-2358

Path traversal z RCE w lollms-webui poprzez parametr 'extensions'

CVSS 9.8v3.0pub. 2024-05-16upd. 2025-07-09

Podatność path traversal w endpoincie '/apply_settings' aplikacji parisneo/lollms-webui umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu. Brak odpowiedniej sanityzacji danych wejściowych pozwala na załadowanie i uruchomienie złośliwego pliku po stronie serwera.

Pokaż oryginał (EN)

A path traversal vulnerability in the '/apply_settings' endpoint of parisneo/lollms-webui allows attackers to execute arbitrary code. The vulnerability arises due to insufficient sanitization of user-supplied input in the configuration settings, specifically within the 'extensions' parameter. Attackers can exploit this by crafting a payload that includes relative path traversal sequences ('../../../'), enabling them to navigate to arbitrary directories. This flaw subsequently allows the server to load and execute a malicious '__init__.py' file, leading to remote code execution. The issue affects the latest version of parisneo/lollms-webui.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie do endpointu '/apply_settings', podając w parametrze 'extensions' sekwencje path traversal (np. '../../../'), które pozwalają na wyjście poza dozwolony katalog. Serwer, nie walidując poprawnie ścieżki, ładuje wskazany przez atakującego plik '__init__.py' z dowolnej lokalizacji w systemie plików. Załadowanie tego pliku skutkuje wykonaniem zawartego w nim złośliwego kodu z uprawnieniami procesu serwera. Podatność wynika z niewystarczającej walidacji danych konfiguracyjnych dostarczanych przez użytkownika.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze bez konieczności uwierzytelnienia, co prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz potencjalnego lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się ograniczenie dostępu sieciowego do interfejsu lollms-webui wyłącznie do zaufanych adresów IP oraz unikanie eksponowania usługi w sieci publicznej.

Kogo dotyczy

Najnowsza wersja parisneo/lollms-webui (lollms Web UI) dostępna w momencie publikacji podatności (2024-05-16)

Uwagi

Szczegółowy opis podatności oraz proof-of-concept dostępny w programie bug bounty na platformie huntr.com pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    < 9.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2360CRITICAL9.8PL ✓ten sam produkt

Path Traversal prowadzący do RCE w parisneo/lollms-webui