CRITICAL🇬🇧 English

CVE-2024-2362

Path traversal w lollms-webui 9.3 umożliwiający usunięcie dowolnego pliku

CVSS 9.1v3.1pub. 2024-06-06upd. 2025-02-13

W aplikacji lollms-webui w wersji 9.3 na platformie Windows istnieje podatność typu path traversal, która pozwala nieuwierzytelnionemu atakującemu na usunięcie dowolnego pliku w systemie. Podatność jest krytyczna ze względu na brak uwierzytelnienia wymaganego do jej wykorzystania oraz destrukcyjny charakter możliwego ataku.

Pokaż oryginał (EN)

A path traversal vulnerability exists in the parisneo/lollms-webui version 9.3 on the Windows platform. Due to improper validation of file paths between Windows and Linux environments, an attacker can exploit this vulnerability to delete any file on the system. The issue arises from the lack of adequate sanitization of user-supplied input in the 'del_preset' endpoint, where the application fails to prevent the use of absolute paths or directory traversal sequences ('..'). As a result, an attacker can send a specially crafted request to the 'del_preset' endpoint to delete files outside of the intended directory.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji ścieżek plików dostarczanych przez użytkownika w endpoincie 'del_preset'. Aplikacja nie blokuje użycia ścieżek bezwzględnych ani sekwencji przechodzenia po katalogach ('..'), co prowadzi do rozbieżności w obsłudze ścieżek pomiędzy środowiskami Windows i Linux. Atakujący może wysłać specjalnie spreparowane żądanie do endpointu 'del_preset', wskazując ścieżkę do pliku znajdującego się poza zamierzonym katalogiem, co skutkuje jego usunięciem.

Skutki

Atakujący bez żadnego uwierzytelnienia może usunąć dowolny plik dostępny w systemie operacyjnym, co może prowadzić do trwałej utraty danych, destabilizacji systemu lub jego całkowitej niedostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://huntr.com/bounties/2433d0a4-9ba0-474b-be1a-6fd5019770ba). Zaleca się aktualizację do najnowszej dostępnej wersji aplikacji oraz — jako środek tymczasowy — ograniczenie dostępu sieciowego do endpointu 'del_preset' za pomocą firewall lub mechanizmów autoryzacji.

Kogo dotyczy

parisneo/lollms-webui w wersji 9.3 działający na platformie Windows

Uwagi

Podatność dotyczy wyłącznie wdrożeń na platformie Windows — mechanizm wynika ze specyficznych różnic w obsłudze ścieżek pomiędzy systemami Windows i Linux.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Lollms Web Ui

    APP
    Lollms
    9.3
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit