Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans lollms-webui, une interface web pour le modèle de langage Lollms. Cette faille permet à un attaquant d'abuser des identifiants du serveur victime pour accéder à des ressources web non autorisées. Elle affecte toutes les versions de lollms-webui inférieures ou égales à la dernière version disponible. La correction consiste à mettre à jour vers une version corrigée.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles d'accès et d'accéder à des ressources internes qui ne seraient normalement pas accessibles depuis l'extérieur. En spécifiant une URL malveillante dans le paramètre JSON {"url":"http://steal.target"} de l'API /api/proxy, l'attaquant peut forcer le serveur à effectuer des requêtes vers des serveurs contrôlés par lui. Cela peut entraîner la divulgation d'informations sensibles, l'exécution de code arbitraire sur le serveur victime, ou même l'accès à d'autres systèmes au sein du réseau. Les mécanismes de sécurité existants, tels que forbidremoteaccess(lollmsElfServer), lollmsElfServer.config.headlessservermode, et checkaccess(lollmsElfServer, request.clientid), se sont avérés inefficaces pour prévenir cette attaque.
La vulnérabilité est publique depuis le 20 mars 2025. Il n'y a pas d'indication d'une inscription sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la disponibilité d'informations sur la vulnérabilité. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement.
Organizations deploying lollms-webui, particularly those exposing it to untrusted networks or using it to proxy requests to internal services, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• python / server:
import requests
import json
url = 'http://your_lollms_webui_ip/api/proxy'
headers = {'Content-Type': 'application/json'}
data = json.dumps({'url': 'http://127.0.0.1:8080'}) # Test URL
response = requests.post(url, headers=headers, data=data)
if response.status_code == 200:
print("Potential SSRF detected. Review response content.")
print(response.text)
else:
print("Request failed.")• generic web:
curl -v -X POST 'http://your_lollms_webui_ip/api/proxy' -H 'Content-Type: application/json' -d '{"url":"http://127.0.0.1:8080"}'• linux / server:
journalctl -u lollms-webui -f | grep "proxy request" # Look for suspicious URLs in logsdisclosure
Statut de l'Exploit
EPSS
0.12% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour lollms-webui vers la dernière version disponible, qui corrige cette vulnérabilité SSRF. En attendant la mise à jour, il est possible de mettre en place des mesures de contournement temporaires. Il est fortement recommandé de désactiver temporairement l'API /api/proxy si elle n'est pas essentielle. Si l'API est nécessaire, il est possible de configurer un pare-feu ou un proxy inverse pour bloquer les requêtes vers des domaines non autorisés. La surveillance des journaux d'accès et d'erreurs du serveur peut aider à détecter les tentatives d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez que l'API /api/proxy fonctionne comme prévu et qu'elle ne permet plus l'accès à des ressources non autorisées.
Mettez à jour la bibliothèque lollms-webui vers la dernière version disponible. Cela devrait inclure la correction pour la vulnérabilité SSRF. Consultez les notes de version pour plus de détails sur la mise à jour et les mesures d'atténuation supplémentaires.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12766 est une vulnérabilité SSRF (Server-Side Request Forgery) dans lollms-webui qui permet à un attaquant d'accéder à des ressources web non autorisées en abusant des identifiants du serveur.
Vous êtes affecté si vous utilisez une version de lollms-webui inférieure ou égale à la dernière version disponible.
La correction consiste à mettre à jour lollms-webui vers la dernière version disponible. En attendant, désactivez l'API /api/proxy ou configurez un pare-feu.
Il n'y a pas de confirmation d'exploitation active à ce jour, mais la probabilité est considérée comme moyenne en raison de la simplicité de l'exploitation.
Consultez le site web officiel de lollms-webui ou le dépôt GitHub pour obtenir les informations les plus récentes sur la vulnérabilité et les correctifs.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.