Plateforme
python
Composant
parisneo/lollms
Une vulnérabilité de traversal de chemin a été découverte dans lollms, une implémentation Python de grands modèles de langage. Cette faille, présente dans les versions antérieures à la dernière, permet à un attaquant de supprimer des répertoires arbitraires sur le système via l'endpoint /wipe_database. L'exploitation de cette vulnérabilité peut entraîner une perte de données significative et une compromission du système.
L'impact de cette vulnérabilité est critique, car elle permet à un attaquant d'accéder et de supprimer des fichiers sensibles situés n'importe où sur le système de fichiers. En manipulant le paramètre key de l'endpoint /wipe_database, un attaquant peut contourner les contrôles d'accès et supprimer des répertoires contenant des données critiques, des fichiers de configuration ou même des composants du système d'exploitation. La suppression de répertoires essentiels pourrait entraîner une indisponibilité du service, une perte de données irréversible et potentiellement permettre un accès non autorisé à d'autres systèmes sur le réseau. Cette vulnérabilité présente un risque élevé de compromission du système.
Cette vulnérabilité a été rendue publique le 20 mars 2025. Bien qu'aucune exploitation active n'ait été confirmée à ce jour, la simplicité de l'exploitation et la nature critique de l'impact potentiel en font une cible attrayante pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles preuves d'exploitation.
Organizations deploying lollms, particularly those running the latest version without proper input validation or access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's lollms instance could lead to the compromise of the entire server.
• python / server:
import os
import requests
url = 'http://your-lollms-server/wipe_database?key=../../../../etc/passwd'
try:
response = requests.get(url)
if response.status_code == 200:
print("Potential Path Traversal detected!")
else:
print("Request failed.")
except requests.exceptions.RequestException as e:
print(f"Error: {e}")• linux / server:
journalctl -u lollms -f | grep "wipe_database"• generic web:
curl -I http://your-lollms-server/wipe_database?key=../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'instance de lollms vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de désactiver l'endpoint /wipe_database si celui-ci n'est pas essentiel au fonctionnement du système. Si la désactivation n'est pas possible, restreindre l'accès à cet endpoint aux seuls utilisateurs autorisés via des règles de pare-feu ou des contrôles d'accès basés sur les rôles est une mesure temporaire. Surveiller attentivement les journaux d'accès pour détecter toute tentative d'exploitation de cette vulnérabilité est également crucial.
Actualice la biblioteca parisneo/lollms a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal en el endpoint `/wipe_database`. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro `key`, para evitar la manipulación de rutas de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-9597 is a Path Traversal vulnerability in lollms, allowing attackers to delete directories. It affects versions ≤latest and has a HIGH severity rating.
If you are running lollms version ≤latest, you are potentially affected. Assess your environment and implement mitigations immediately.
The recommended fix is to upgrade to a patched version of lollms. Until then, restrict endpoint access and implement input validation.
There is currently no evidence of active exploitation, but the vulnerability's ease of exploitation suggests it may become a target.
Refer to the parisneo/lollms project repository and related security announcements for the official advisory.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.