प्लेटफ़ॉर्म
python
घटक
parisneo/lollms-webui
में ठीक किया गया
9.5
CVE-2024-3322 एक पाथ ट्रैवर्सल भेद्यता है जो parisneo/lollms-webui में पाई गई है, विशेष रूप से इसके 'cyber_security/codeguard' मूल व्यक्तित्व में। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। यह भेद्यता lollms-webui के संस्करणों 9.5 और उससे कम को प्रभावित करती है। संस्करण 9.5 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को lollms-webui सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर संवेदनशील जानकारी, जैसे कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड या अन्य गोपनीय डेटा तक पहुंच प्राप्त कर सकते हैं। यह भेद्यता सर्वर पर अन्य सिस्टम तक पहुंच प्राप्त करने के लिए भी इस्तेमाल की जा सकती है, जिससे संभावित रूप से व्यापक क्षति हो सकती है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को 'codefolderpath' पैरामीटर में विशेष रूप से तैयार किए गए पथों का उपयोग करने की आवश्यकता होगी, जैसे '../' या पूर्ण पथ, फ़ाइल सिस्टम में अनधिकृत स्थानों तक पहुंचने के लिए।
CVE-2024-3322 को अभी तक KEV में सूचीबद्ध नहीं किया गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2024-06-06 को प्रकाशित की गई थी।
Organizations deploying lollms-webui, particularly those utilizing the 'cyber_security/codeguard' personality, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to access to other users' data.
• linux / server:
find /opt/lollms-webui -name 'processor.py' -print0 | xargs -0 grep -i 'code_folder_path'• python / supply-chain:
Inspect the processor.py file within the lollms-webui/zoos/personalitieszoo/cybersecurity/codeguard/scripts/ directory for the vulnerable process_folder function and lack of proper input sanitization.
• generic web:
Attempt to access files outside the intended directory using path traversal sequences in the URL (e.g., /zoos/personalitieszoo/cybersecurity/codeguard/../../../../etc/passwd).
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.79% (74% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-3322 को कम करने के लिए, lollms-webui को संस्करण 9.5 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम तक पहुंच को सीमित करने के लिए फ़ायरवॉल नियमों को लागू किया जा सकता है। इसके अतिरिक्त, इनपुट सत्यापन को मजबूत करने और फ़ाइल पथों को ठीक से सैनिटाइज करने के लिए lollms-webui के कॉन्फ़िगरेशन को संशोधित किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, 'codefolderpath' पैरामीटर के साथ मनमाना फ़ाइल रीड का प्रयास करके।
Actualice a una versión posterior a la 9.5. La vulnerabilidad se encuentra en la función 'process_folder' del archivo 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. La actualización corrige la sanitización de la entrada 'code_folder_path' para evitar el recorrido de directorios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-3322 lollms-webui के 'cyber_security/codeguard' व्यक्तित्व में एक पाथ ट्रैवर्सल भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है।
यदि आप lollms-webui के संस्करण 9.5 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-3322 को ठीक करने के लिए, lollms-webui को संस्करण 9.5 में अपग्रेड करें।
CVE-2024-3322 का अभी तक सक्रिय शोषण नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया parisneo/lollms-webui परियोजना के आधिकारिक चैनलों या GitHub रिपॉजिटरी से परामर्श करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।