CRITICAL🇬🇧 English

CVE-2024-8581

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVSS 9.1v3.0pub. 2025-03-20upd. 2025-10-15

Podatność typu path traversal w funkcji `upload_app` aplikacji lollms-webui V12 (Strawberry) pozwala nieuwierzytelnionemu atakującemu na usunięcie dowolnego pliku lub katalogu w systemie. Brak filtrowania danych wejściowych użytkownika w parametrze `filename` czyni tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

A vulnerability in the `upload_app` function of parisneo/lollms-webui V12 (Strawberry) allows an attacker to delete any file or directory on the system. The function does not implement user input filtering with the `filename` value, causing a Path Traversal error.

🤖 Analiza AI
Jak działa

Funkcja `upload_app` nie waliduje ani nie filtruje wartości parametru `filename` przekazywanego przez użytkownika. Atakujący może skonstruować specjalnie spreparowane żądanie zawierające sekwencje path traversal (np. `../../`), które umożliwią wyjście poza zamierzony katalog aplikacji. W rezultacie możliwe jest wskazanie dowolnej lokalizacji w systemie plików i usunięcie wybranego pliku lub katalogu.

Skutki

Atakujący bez żadnego uwierzytelnienia może trwale usunąć dowolny plik lub katalog na serwerze, co może prowadzić do utraty danych, zakłócenia działania systemu lub jego całkowitej niedostępności.

Mitygacja

Należy zaktualizować aplikację do wersji zawierającej poprawkę dostępną w commicie dcc078cbe20d2a9640b0942a622134b0e3fa6e48 w repozytorium GitHub producenta. Zaleca się również ograniczenie dostępu sieciowego do instancji lollms-webui wyłącznie do zaufanych użytkowników.

Kogo dotyczy

parisneo/lollms-webui V12 (Strawberry)

Uwagi

Podatność zgłoszona za pośrednictwem platformy huntr.com (bounty ID: 67ead5b9-8149-4001-a1cd-ac648cb7b414). Wektor ataku sieciowy bez wymagania uwierzytelnienia (PR:N, UI:N) zwiększa ryzyko masowego wykorzystania.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2359CRITICAL9.8PL ✓ten sam produkt

Command Injection w lollms-webui — obejście zabezpieczeń i RCE

CVE-2024-2360CRITICAL9.8PL ✓ten sam produkt

Path Traversal prowadzący do RCE w parisneo/lollms-webui