HIGHCVE-2024-12766CVSS 7.5

parisneo/lollms-webuiにおけるSSRF

プラットフォーム

python

コンポーネント

lollms-webui

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

CVE-2024-12766は、parisneo/lollms-webui V13（feather）バージョンにおいて、/api/proxy REST APIに存在するサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。この脆弱性を悪用されると、攻撃者は被害サーバーの認証情報を利用して、本来アクセスできないWebリソースに不正にアクセスする可能性があります。影響を受けるバージョンは、最新バージョンを含む全てのV13（feather）バージョンです。対策は、設定の見直しとアクセス制限の強化が推奨されます。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がlollms-webuiサーバーを経由して、内部ネットワークや外部Webサービスへの不正なアクセスを可能にします。例えば、攻撃者は内部の管理コンソールやデータベースにアクセスしたり、機密情報を窃取したりする可能性があります。また、認証情報が漏洩した場合、攻撃者は被害サーバーの権限を悪用して、他のシステムへの攻撃を試みることも考えられます。既存のセキュリティ対策（forbidremoteaccess(lollmsElfServer), lollmsElfServer.config.headlessservermode, checkaccess(lollmsElfServer, request.clientid))では、この脆弱性を完全に防ぐことができません。

悪用の状況

CVE-2024-12766は、2025年3月20日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）に登録されていません。公開されているPoCは確認されていませんが、SSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。攻撃者は、{"url":"http://steal.target"}のようなパラメータを/api/proxyに送信することで、脆弱性を突く可能性があります。

リスク対象者翻訳中…

Organizations deploying lollms-webui, particularly those exposing it to untrusted networks or using it to proxy requests to internal services, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.

検出手順翻訳中…

• python / server:

import requests
import json

url = 'http://your_lollms_webui_ip/api/proxy'
headers = {'Content-Type': 'application/json'}
data = json.dumps({'url': 'http://127.0.0.1:8080'}) # Test URL

response = requests.post(url, headers=headers, data=data)

if response.status_code == 200:
    print("Potential SSRF detected.  Review response content.")
    print(response.text)
else:
    print("Request failed.")

• generic web:

curl -v -X POST 'http://your_lollms_webui_ip/api/proxy' -H 'Content-Type: application/json' -d '{"url":"http://127.0.0.1:8080"}'

• linux / server:

journalctl -u lollms-webui -f | grep "proxy request" # Look for suspicious URLs in logs

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.12% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlollms-webui

ベンダーparisneo

影響範囲修正版

unspecified – latest—

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-12-18
公開日2025-03-20
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

この脆弱性に対する直接的な修正は、lollms-webuiのアップデートを待つ必要があります。アップデートが利用可能になるまで、以下の緩和策を検討してください。まず、/api/proxyエンドポイントへのアクセスを制限するファイアウォールルールを実装し、許可されたIPアドレスからのアクセスのみを許可します。次に、lollmsElfServerの設定を見直し、不要なリモートアクセスを無効化します。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。攻撃検知のため、アクセスログを監視し、異常なリクエストパターンを検出するアラートを設定してください。

修正方法

lollms-webuiライブラリを最新バージョンにアップデートしてください。これにより、SSRF脆弱性に対する修正が含まれるはずです。アップデートの詳細と追加の軽減策については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-12766 — SSRF in lollms-webuiとは何ですか？

CVE-2024-12766は、lollms-webui V13（feather）バージョンにおけるサーバーサイドリクエストフォージェリ（SSRF）脆弱性です。攻撃者はこの脆弱性を悪用し、被害サーバーの認証情報を利用して、本来アクセスできないWebリソースに不正にアクセスする可能性があります。

CVE-2024-12766 in lollms-webuiに影響を受けますか？

lollms-webuiのV13（feather）バージョンを使用している場合は、影響を受ける可能性があります。最新バージョンを確認し、可能な限りアップデートを適用してください。

CVE-2024-12766 in lollms-webuiを修正するにはどうすればよいですか？

lollms-webuiのアップデートを適用することが推奨されます。アップデートが利用可能になるまで、ファイアウォールルールやWAFの設定を見直し、アクセス制限を強化してください。

CVE-2024-12766は積極的に悪用されていますか？

現時点では、CVE-2024-12766を悪用した具体的な事例は確認されていませんが、SSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。

CVE-2024-12766に関するlollms-webuiの公式アドバイザリはどこで入手できますか？

lollms-webuiの公式アドバイザリは、パリネオのウェブサイトまたはGitHubリポジトリで確認できます。