Krytyczna podatność umożliwiająca zdalne wykonanie kodu (RCE) występuje w endpointcie '/install_extension' aplikacji parisneo/lollms-webui. Atakujący bez uwierzytelnienia i bez interakcji użytkownika może wykonać dowolny kod na serwerze poprzez wykorzystanie podatności path traversal.
▸ Pokaż oryginał (EN)
A remote code execution (RCE) vulnerability exists in the '/install_extension' endpoint of the parisneo/lollms-webui application, specifically within the `@router.post("/install_extension")` route handler. The vulnerability arises due to improper handling of the `name` parameter in the `ExtensionBuilder().build_extension()` method, which allows for local file inclusion (LFI) leading to arbitrary code execution. An attacker can exploit this vulnerability by crafting a malicious `name` parameter that causes the server to load and execute a `__init__.py` file from an arbitrary location, such as the upload directory for discussions. This vulnerability affects the latest version of parisneo/lollms-webui and can lead to remote code execution without requiring user interaction, especially when the application is exposed to an external endpoint or operated in headless mode.
Podatność wynika z niewłaściwej obsługi parametru `name` w metodzie `ExtensionBuilder().build_extension()` wywoływanej przez handler trasy `@router.post("/install_extension")`. Atakujący przesyła spreparowany parametr `name`, który powoduje, że serwer ładuje i wykonuje plik `__init__.py` z dowolnej lokalizacji w systemie plików — na przykład z katalogu przesyłania plików dyskusji (upload directory). Jest to przypadek Local File Inclusion (LFI) prowadzący bezpośrednio do wykonania arbitralnego kodu.
Atakujący może zdalnie wykonać dowolny kod na serwerze bez uwierzytelnienia, co prowadzi do pełnego przejęcia systemu, w tym naruszenia poufności, integralności i dostępności danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do endpointu '/install_extension' wyłącznie do zaufanych sieci lub użytkowników oraz unikanie wystawiania aplikacji na zewnętrzne interfejsy sieciowe.
Najnowsza wersja aplikacji parisneo/lollms-webui — szczególnie narażone instalacje dostępne z zewnętrznego endpointu sieciowego lub działające w trybie headless
Podatność jest szczególnie groźna w scenariuszach, gdy aplikacja działa w trybie headless lub jest dostępna publicznie — atak nie wymaga żadnej interakcji po stronie użytkownika. Szczegóły techniczne dostępne w raporcie na platformie huntr.com.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLollms Web Ui
APPLollmswszystkie wersje
Powiązane podatności
SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów
Path traversal w API install/uninstall lollms-webui V12 (Strawberry)
Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku
Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui
Command Injection w lollms-webui — obejście zabezpieczeń i RCE