HIGHCVE-2024-3322CVSS 8.4

parisneo/lollms-webui におけるパス・トラバーサル

Q: CVE-2024-3322 — パス・トラバーサルはlollms-webuiで何ですか？

CVE-2024-3322は、lollms-webuiの'cyber_security/codeguard'パーソナリティにおけるパス・トラバーサル脆弱性です。攻撃者は、'code_folder_path'パラメータを悪用して、本来アクセスできないファイルを読み書きできます。

プラットフォーム

python

コンポーネント

parisneo/lollms-webui

修正版

9.5

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

lollms-webuiの'cybersecurity/codeguard'ネイティブパーソナリティにおいて、パス・トラバーサル脆弱性が確認されています。この脆弱性は、攻撃者が'codefolder_path'パラメータを操作することで、本来アクセスできないファイルを読み書きすることを可能にします。影響を受けるバージョンは9.5以前です。バージョン9.5へのアップデートにより修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はlollms-webuiが実行されているシステム上の任意のファイルにアクセスし、その内容を読み取ったり、書き換えたりすることが可能になります。機密情報（APIキー、パスワード、設定ファイルなど）の漏洩、システムの改ざん、さらにはリモートコード実行につながる可能性があります。特に、コードガード機能が重要なセキュリティチェックに使用されている場合、この脆弱性の影響は甚大です。類似の脆弱性は、ファイルアップロード機能の不備などから発生する可能性があります。

悪用の状況

この脆弱性は、2024年6月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、攻撃者による悪用が懸念されます。CISA KEVへの登録状況は不明です。NVD（National Vulnerability Database）も同様に、脆弱性の悪用に関する情報を提供しています。

リスク対象者翻訳中…

Organizations deploying lollms-webui, particularly those utilizing the 'cyber_security/codeguard' personality, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to access to other users' data.

検出手順翻訳中…

• linux / server:

find /opt/lollms-webui -name 'processor.py' -print0 | xargs -0 grep -i 'code_folder_path'

• python / supply-chain: Inspect the processor.py file within the lollms-webui/zoos/personalitieszoo/cybersecurity/codeguard/scripts/ directory for the vulnerable process_folder function and lack of proper input sanitization. • generic web: Attempt to access files outside the intended directory using path traversal sequences in the URL (e.g., /zoos/personalitieszoo/cybersecurity/codeguard/../../../../etc/passwd).

攻撃タイムライン

2024-06-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.79% (74% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントparisneo/lollms-webui

ベンダーparisneo

影響範囲修正版

unspecified – 9.59.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-04
公開日2024-06-06
更新日2024-08-01
EPSS 更新日2026-04-02

緩和策と回避策

まず、lollms-webuiをバージョン9.5にアップデートすることを強く推奨します。アップデートが直ちに困難な場合は、WAF（Web Application Firewall）やリバースプロキシを設定し、'codefolderpath'パラメータに対する不正なパス（'../'や絶対パス）の入力をブロックするルールを実装してください。また、ファイルアクセス権限を適切に設定し、lollms-webuiが実行されているユーザーが、必要最小限のファイルのみにアクセスできるように制限することも有効です。アップデート後、'codefolderpath'パラメータに不正なパスを指定して、ファイルアクセスが適切に制限されていることを確認してください。

修正方法翻訳中…

Actualice a una versión posterior a la 9.5. La vulnerabilidad se encuentra en la función 'process_folder' del archivo 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. La actualización corrige la sanitización de la entrada 'code_folder_path' para evitar el recorrido de directorios.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-3322 — パス・トラバーサルはlollms-webuiで何ですか？

CVE-2024-3322は、lollms-webuiの'cybersecurity/codeguard'パーソナリティにおけるパス・トラバーサル脆弱性です。攻撃者は、'codefolder_path'パラメータを悪用して、本来アクセスできないファイルを読み書きできます。

CVE-2024-3322でlollms-webuiを使用しています。影響を受けますか？

lollms-webuiのバージョンが9.5以前の場合は、影響を受けます。バージョン9.5にアップデートするか、適切なセキュリティ対策を講じる必要があります。

CVE-2024-3322でlollms-webuiを修正するにはどうすればよいですか？

lollms-webuiをバージョン9.5にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF/プロキシルールで対策を講じてください。

CVE-2024-3322は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の性質上、攻撃者による悪用が懸念されます。

CVE-2024-3322に関するlollms-webuiの公式アドバイザリはどこで入手できますか？

lollms-webuiの公式アドバイザリは、通常、プロジェクトのGitHubリポジトリまたは関連するセキュリティ情報サイトで公開されます。