Plataforma
python
Componente
lollms-webui
Se ha descubierto una vulnerabilidad de Path Traversal y Remote File Inclusion (RFI) en la aplicación parisneo/lollms-webui, afectando a versiones desde v9.7 hasta la última disponible. Esta falla se debe a una validación insuficiente de la entrada en la función /applysettings, permitiendo a un atacante manipular el parámetro discussiondbname para acceder a archivos sensibles. La falta de filtrado adecuado en los endpoints installbinding, reinstallbinding y unInstallbinding agrava el problema.
Un atacante que explote esta vulnerabilidad puede leer archivos arbitrarios en el sistema de archivos del servidor. Esto podría incluir archivos de configuración, claves privadas, contraseñas u otros datos confidenciales. La capacidad de incluir archivos remotos (RFI) amplía el impacto potencial, permitiendo a un atacante ejecutar código malicioso en el servidor si se logra la inclusión de un archivo desde una fuente controlada por el atacante. La falta de validación de la entrada en múltiples endpoints sugiere que la vulnerabilidad podría ser explotada para obtener acceso a diferentes partes de la aplicación y sus datos subyacentes.
Esta vulnerabilidad fue publicada el 25 de junio de 2024. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits activos en campañas conocidas. La naturaleza de Path Traversal y RFI sugiere que podría ser un objetivo para atacantes que buscan acceder a información confidencial o ejecutar código malicioso en servidores vulnerables. Se recomienda monitorear los sistemas afectados en busca de actividad sospechosa.
Organizations deploying lollms-webui, particularly those running it in production environments or on shared hosting platforms, are at risk. Environments with weak file system permissions or inadequate input validation practices are especially vulnerable. Users relying on lollms-webui for sensitive data processing or storage should prioritize patching.
• linux / server:
journalctl -u lollms-webui -g "apply_settings"• generic web:
curl -I http://your-lollms-webui-host/apply_settings?discussion_db_name=../../../../etc/passwd | grep 'HTTP/1.1 200 OK'• generic web:
Check access logs for requests to /applysettings with unusual or suspicious values for the discussiondb_name parameter (e.g., containing ../ sequences).
disclosure
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la última versión de lollms-webui, donde se espera que la vulnerabilidad haya sido corregida. Mientras tanto, se recomienda implementar una validación estricta de la entrada en la función /applysettings y en los endpoints installbinding, reinstallbinding y unInstallbinding. Esto debe incluir la sanitización de la entrada para prevenir la manipulación de rutas de archivos. Además, se recomienda revisar y fortalecer las políticas de acceso a archivos para limitar el acceso a los recursos sensibles. Verifique después de la actualización que la función /apply_settings no permita la navegación de directorios.
Actualice la aplicación parisneo/lollms-webui a la última versión disponible. Esto solucionará la vulnerabilidad de Path Traversal y RFI. Asegúrese de validar y sanear todas las entradas del usuario para prevenir futuros ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-4498 is a Path Traversal vulnerability in the parisneo/lollms-webui application, allowing attackers to read arbitrary files by manipulating input parameters.
If you are running lollms-webui versions v9.7 or later, you are potentially affected by this vulnerability. Upgrade as soon as a patch is available.
The recommended fix is to upgrade to a patched version of lollms-webui. Until a patch is available, implement strict input validation and consider using a WAF.
While no widespread exploitation has been confirmed, the ease of exploitation suggests a potential for rapid exploitation. Monitor security advisories.
Refer to the parisneo/lollms-webui project's GitHub repository and associated security advisories for updates and official announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.