CRITICAL🇬🇧 English

CVE-2024-4326

RCE w lollms-webui — obejście zabezpieczeń endpointów API

CVSS 9.8v3.0pub. 2024-05-16upd. 2025-07-09

Podatność w parisneo/lollms-webui w wersjach do 9.3 umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Wynika ona z niewystarczającej ochrony endpointów `/apply_settings` oraz `/execute_code`, co czyni ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

A vulnerability in parisneo/lollms-webui versions up to 9.3 allows remote attackers to execute arbitrary code. The vulnerability stems from insufficient protection of the `/apply_settings` and `/execute_code` endpoints. Attackers can bypass protections by setting the host to localhost, enabling code execution, and disabling code validation through the `/apply_settings` endpoint. Subsequently, arbitrary commands can be executed remotely via the `/execute_code` endpoint, exploiting the delay in settings enforcement. This issue was addressed in version 9.5.

🤖 Analiza AI
Jak działa

Atakujący może ominąć mechanizmy ochronne poprzez ustawienie wartości hosta na localhost w żądaniu do endpointu `/apply_settings`, co pozwala na włączenie wykonywania kodu i jednoczesne wyłączenie walidacji kodu. Następnie, wykorzystując opóźnienie w egzekwowaniu nowych ustawień, atakujący wysyła żądanie do endpointu `/execute_code` z dowolnymi poleceniami do wykonania. W efekcie możliwe jest zdalne wykonanie arbitralnych komend systemowych bez konieczności posiadania jakichkolwiek uprawnień.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa aplikacja — w tym dostęp do poufnych danych, możliwość modyfikacji systemu oraz jego destabilizacji (naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zaktualizować lollms-webui do wersji 9.5 lub nowszej, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub producenta (commit abb4c6d495a95a3ef5b114ffc57f85cd650b905e).

Kogo dotyczy

parisneo/lollms-webui w wersjach do 9.3 włącznie

Uwagi

Podatność zgłoszona za pośrednictwem platformy huntr.com. Problem dotyczył opóźnienia w egzekwowaniu ustawień (race condition na poziomie logiki aplikacji), co umożliwiało okno czasowe do wykonania złośliwego kodu.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    < 9.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2359CRITICAL9.8PL ✓ten sam produkt

Command Injection w lollms-webui — obejście zabezpieczeń i RCE