CRITICAL🇬🇧 English

CVE-2024-8898

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVSS 9.8v3.1pub. 2025-03-20upd. 2025-04-01

W aplikacji lollms-webui w wersji V12 (Strawberry) wykryto krytyczną podatność typu path traversal w endpointach API `install` i `uninstall`. Umożliwia ona nieuwierzytelnionemu atakującemu tworzenie lub usuwanie katalogów w dowolnych lokalizacjach systemu plików.

Pokaż oryginał (EN)

A path traversal vulnerability exists in the `install` and `uninstall` API endpoints of parisneo/lollms-webui version V12 (Strawberry). This vulnerability allows attackers to create or delete directories with arbitrary paths on the system. The issue arises due to insufficient sanitization of user-supplied input, which can be exploited to traverse directories outside the intended path.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej sanityzacji danych wejściowych dostarczanych przez użytkownika w endpointach API `install` i `uninstall`. Atakujący może spreparować żądanie zawierające sekwencje path traversal (np. `../`), które powodują wyjście poza zamierzony katalog docelowy. W efekcie aplikacja przetwarza ścieżki poza dozwolonym obszarem systemu plików, co pozwala na manipulację strukturą katalogów na serwerze.

Skutki

Atakujący bez żadnego uwierzytelnienia może tworzyć lub usuwać katalogi w dowolnych lokalizacjach na serwerze, co może prowadzić do naruszenia integralności systemu, usunięcia krytycznych danych lub zakłócenia działania aplikacji i systemu operacyjnego.

Mitygacja

Należy zaktualizować lollms-webui do wersji zawierającej poprawkę dostępną w commicie 6d07c8a0dd0a15cc060becc73fda9fe8e788eb23 w repozytorium GitHub producenta. Należy zastosować patche dostępne u producenta zgodnie z referencjami.

Kogo dotyczy

parisneo/lollms-webui wersja V12 (Strawberry)

Uwagi

Podatność zgłoszona za pośrednictwem platformy huntr.com (bounty ID: 6072371f-0ddc-42e3-9207-1c6d6b18d32f). Pomimo braku wpisu w CISA KEV, krytyczny wynik CVSS 9.8 oraz brak wymagań dotyczących uwierzytelnienia (PR:N, UI:N) wskazują na wysokie ryzyko eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2359CRITICAL9.8PL ✓ten sam produkt

Command Injection w lollms-webui — obejście zabezpieczeń i RCE

CVE-2024-2360CRITICAL9.8PL ✓ten sam produkt

Path Traversal prowadzący do RCE w parisneo/lollms-webui