Plataforma
python
Componente
lollms-webui
Corregido en
8.0.1
Se ha identificado una vulnerabilidad crítica de Server-Side Request Forgery (SSRF) en lollms-webui, la interfaz web para Lord of Large Language and Multi modal Systems. Esta falla permite a atacantes no autenticados forzar al servidor a realizar solicitudes GET arbitrarias, comprometiendo la seguridad de la aplicación. La vulnerabilidad afecta a todas las versiones de lollms-webui hasta la versión 8c5dcef63d847bb3d027ec74915d8fe4afd3014e. Actualmente, no se dispone de versiones parcheadas.
La vulnerabilidad SSRF en lollms-webui permite a un atacante no autenticado explotar el endpoint /api/proxy para realizar solicitudes GET arbitrarias. Esto significa que el atacante puede forzar al servidor a acceder a recursos internos que normalmente no estarían expuestos a la red externa. Un atacante podría escanear la red interna en busca de servicios vulnerables, acceder a información confidencial almacenada en servicios internos, o incluso exfiltrar metadatos sensibles de la nube, como tokens de IAM de AWS o GCP. La falta de autenticación para este endpoint amplifica significativamente el riesgo, permitiendo la explotación sin necesidad de credenciales válidas. Esta vulnerabilidad presenta un alto riesgo de compromiso debido a su facilidad de explotación y el potencial de acceso a datos críticos.
La vulnerabilidad fue publicada el 2026-03-24. No se ha añadido a KEV a la fecha de publicación. No se conocen públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad SSRF la hace susceptible a explotación rápida una vez que se dispone de un PoC. La falta de una versión parcheada aumenta la probabilidad de explotación en entornos expuestos a Internet.
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
Dado que no se dispone de una versión parcheada de lollms-webui, la mitigación inmediata se centra en limitar la exposición del endpoint /api/proxy. Se recomienda implementar reglas en un firewall de aplicaciones web (WAF) o un proxy inverso para bloquear o restringir las solicitudes a este endpoint. Específicamente, se deben implementar reglas que validen y saniticen las URLs de destino, evitando que el servidor realice solicitudes a direcciones IP internas o a servicios no autorizados. Otra medida de mitigación es restringir el acceso a lollms-webui solo a usuarios y redes confiables. Se debe monitorear activamente los registros del servidor en busca de patrones de tráfico inusuales que puedan indicar un intento de explotación. La implementación de estas medidas de seguridad ayudará a reducir el riesgo de explotación hasta que se disponga de una versión parcheada.
No hay una versión corregida disponible al momento de la publicación. Se recomienda monitorear el repositorio de lollms-webui para actualizaciones y aplicar el parche tan pronto como esté disponible. Como medida de mitigación temporal, se puede restringir el acceso al endpoint /api/proxy o implementar validaciones estrictas de las URLs proxyadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33340 describes a critical Server-Side Request Forgery (SSRF) vulnerability in lollms-webui, allowing attackers to make arbitrary requests through the server. This can lead to access of internal resources and cloud metadata. The vulnerability affects versions ≤<= 8c5dcef63d847bb3d027ec74915d8fe4afd3014e.
If you are running lollms-webui version ≤<= 8c5dcef63d847bb3d027ec74915d8fe4afd3014e, you are affected by this vulnerability. No patched versions are currently available.
As no patched version is available, mitigation involves implementing a WAF with outbound request filtering, isolating the instance, and monitoring network traffic. A direct fix is unavailable at this time.
While no active exploitation campaigns are currently known, the vulnerability's severity and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official lollms-webui project repository and security mailing lists for updates and advisories related to CVE-2026-33340.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.