मुफ्त स्कैन करें
HIGHCVE-2024-6085CVSS 8.6

parisneo/lollms में पथ पारगमन (Path Traversal)

प्लेटफ़ॉर्म

python

घटक

parisneo/lollms

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

lollms पैकेज में एक पथ पारगमन भेद्यता (Path Traversal Vulnerability) मौजूद है, विशेष रूप से XTTS सर्वर में। यह भेद्यता संस्करण v9.6 और उससे पहले के संस्करणों को प्रभावित करती है। हमलावर अनधिकृत रूप से रूट फ़ोल्डर सेटिंग्स बदलकर सिस्टम पर मनमाने ढंग से फ़ाइलें पढ़ सकते हैं, जिससे डेटा गोपनीयता और सिस्टम सुरक्षा को खतरा हो सकता है। नवीनतम संस्करण में अपडेट करके इस भेद्यता को ठीक किया जा सकता है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है। रूट फ़ोल्डर को '/' पर सेट करके, हमलावर संवेदनशील कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य महत्वपूर्ण डेटा तक पहुंच प्राप्त कर सकते हैं। इसके अतिरिक्त, आउटपुट फ़ोल्डर को बदलकर, हमलावर सिस्टम पर किसी भी स्थान पर मनमाने ऑडियो फ़ाइलें लिख सकते हैं, जिससे सिस्टम की अखंडता से समझौता हो सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां lollms पैकेज का उपयोग संवेदनशील डेटा को संसाधित करने या महत्वपूर्ण कार्यों को करने के लिए किया जाता है।

शोषण संदर्भ

CVE-2024-6085 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और आसानी से शोषण करने की क्षमता के कारण, भविष्य में इसका शोषण होने की संभावना है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (Proof-of-Concept) अभी तक नहीं मिले हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, जल्द ही इनका विकास होने की संभावना है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations deploying lollms for text-to-speech generation, particularly those running the XTTS server component, are at risk. Shared hosting environments where lollms is installed alongside other applications are especially vulnerable, as a successful exploit could potentially compromise the entire host.

पहचान के चरणअनुवाद हो रहा है…

• python / lollms:

import os
import requests

# Check for unusual file access attempts
with open('/var/log/lollms/xtts.log', 'r') as f:
    for line in f:
        if 'read_file' in line and '/etc/passwd' in line:
            print('Potential path traversal detected!')

• generic web:

curl -I http://<lollms_server>/xtts/settings/root_folder?root_folder=/

• generic web:

 grep -i 'root_folder=/' /var/log/apache2/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.13% (33% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L8.6HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकparisneo/lollms
विक्रेताparisneo
प्रभावित श्रेणीमें ठीक किया गया
unspecified – latest

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 696 दिन

शमन और वर्कअराउंड

CVE-2024-6085 को कम करने के लिए, lollms पैकेज को नवीनतम संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करके और रूट फ़ोल्डर सेटिंग्स को बदलने के प्रयासों को सीमित करके सिस्टम को सुरक्षित किया जा सकता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके अनधिकृत फ़ाइल एक्सेस प्रयासों को भी ब्लॉक किया जा सकता है। अपडेट के बाद, यह सुनिश्चित करने के लिए सिस्टम का परीक्षण करें कि भेद्यता ठीक हो गई है और कोई नई समस्या नहीं आई है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice el paquete lollms a una versión posterior a la v9.6 que corrija la vulnerabilidad de path traversal. Consulte las notas de la versión o el repositorio del proyecto para obtener más detalles sobre la actualización. Como medida temporal, evite modificar la configuración de la carpeta raíz del servidor XTTS si no es absolutamente necesario.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2024-6085 — पथ पारगमन भेद्यता lollms में क्या है?

CVE-2024-6085 lollms पैकेज में XTTS सर्वर में एक पथ पारगमन भेद्यता है, जो हमलावरों को सिस्टम पर मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है।

क्या मैं CVE-2024-6085 से lollms में प्रभावित हूं?

यदि आप lollms के संस्करण v9.6 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं lollms में CVE-2024-6085 को कैसे ठीक करूं?

CVE-2024-6085 को ठीक करने के लिए, lollms पैकेज को नवीनतम संस्करण में तुरंत अपडेट करें।

क्या CVE-2024-6085 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2024-6085 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भविष्य में इसका शोषण होने की संभावना है।

मैं CVE-2024-6085 के लिए आधिकारिक lollms सलाहकार कहां पा सकता हूं?

आधिकारिक lollms सलाहकार के लिए, कृपया lollms परियोजना की वेबसाइट या संबंधित सुरक्षा घोषणाओं की जांच करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें