CRITICAL🇬🇧 English

CVE-2024-2361

Path Traversal i dowolny zapis plików w lollms-webui (lollms Web UI)

CVSS 9.6v3.0pub. 2024-05-16upd. 2025-07-09

Podatność w aplikacji parisneo/lollms-webui umożliwia nieautoryzowany odczyt oraz upload dowolnych plików na serwerze z powodu niewystarczającej sanityzacji danych wejściowych dostarczanych przez użytkownika. Zagrożenie ma krytyczny poziom, ponieważ atakujący działający zdalnie, bez uwierzytelnienia (wymagana jedynie interakcja użytkownika), może przejąć kontrolę nad zawartością serwera.

Pokaż oryginał (EN)

A vulnerability in the parisneo/lollms-webui allows for arbitrary file upload and read due to insufficient sanitization of user-supplied input. Specifically, the issue resides in the `install_model()` function within `lollms_core/lollms/binding.py`, where the application fails to properly sanitize the `file://` protocol and other inputs, leading to arbitrary read and upload capabilities. Attackers can exploit this vulnerability by manipulating the `path` and `variant_name` parameters to achieve path traversal, allowing for the reading of arbitrary files and uploading files to arbitrary locations on the server. This vulnerability affects the latest version of parisneo/lollms-webui.

🤖 Analiza AI
Jak działa

Luka znajduje się w funkcji `install_model()` w pliku `lollms_core/lollms/binding.py`. Aplikacja nie filtruje prawidłowo protokołu `file://` ani innych wartości przekazywanych przez użytkownika. Manipulując parametrami `path` oraz `variant_name`, atakujący może przeprowadzić atak path traversal, wychodzący poza dozwolony katalog aplikacji. W efekcie możliwe jest zarówno odczytanie dowolnych plików z systemu plików serwera, jak i zapisanie (upload) złośliwych plików w dowolnej lokalizacji na serwerze.

Skutki

Atakujący może odczytać dowolne pliki z serwera (w tym potencjalnie dane uwierzytelniające, klucze prywatne lub konfiguracje) oraz zapisać pliki w dowolnym miejscu systemu plików, co może prowadzić do przejęcia pełnej kontroli nad serwerem (RCE poprzez zapis złośliwych plików).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://huntr.com/bounties/cd383817-924a-445a-838e-d0c867c6a176). Do czasu aktualizacji zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci oraz monitorowanie prób nieautoryzowanego dostępu do systemu plików.

Kogo dotyczy

Najnowsza wersja parisneo/lollms-webui dostępna w momencie publikacji podatności (2024-05-16); szczegółowe numery wersji wskazane w referencjach producenta.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    < 9.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2359CRITICAL9.8PL ✓ten sam produkt

Command Injection w lollms-webui — obejście zabezpieczeń i RCE