HIGHCVE-2024-4498CVSS 7.7

parisneo/lollms-webui におけるパストラバーサルおよび RFI の脆弱性

プラットフォーム

python

コンポーネント

lollms-webui

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

CVE-2024-4498は、parisneo/lollms-webuiにおいてPath Traversal脆弱性が確認されています。この脆弱性は、攻撃者がファイルシステムを横断し、機密情報を盗み出す、あるいは悪意のあるコードを実行する可能性があります。影響を受けるバージョンはv9.7以降です。現在、開発者による修正パッチが提供されており、速やかなアップデートが推奨されます。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者が/applysettingsエンドポイントのdiscussiondbnameパラメータを操作することで、ファイルシステム上の任意の場所にアクセスすることを可能にします。これにより、機密情報（設定ファイル、データベースファイルなど）が漏洩する可能性があります。さらに、Remote File Inclusion (RFI) の可能性もあり、攻撃者は悪意のあるスクリプトをサーバーにアップロードし、実行することで、システムを完全に制御する可能性があります。sanitizepathfromendpointフィルターのバイパスも確認されており、攻撃の成功率を高めています。

悪用の状況

CVE-2024-4498は、2024年6月25日に公開されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすく、今後積極的に攻撃される可能性があります。CISA KEVへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。

リスク対象者翻訳中…

Organizations deploying lollms-webui, particularly those running it in production environments or on shared hosting platforms, are at risk. Environments with weak file system permissions or inadequate input validation practices are especially vulnerable. Users relying on lollms-webui for sensitive data processing or storage should prioritize patching.

検出手順翻訳中…

• linux / server:

journalctl -u lollms-webui -g "apply_settings"

• generic web:

curl -I http://your-lollms-webui-host/apply_settings?discussion_db_name=../../../../etc/passwd | grep 'HTTP/1.1 200 OK'

• generic web: Check access logs for requests to /applysettings with unusual or suspicious values for the discussiondb_name parameter (e.g., containing ../ sequences).

攻撃タイムライン

2024-06-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.14% (33% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlollms-webui

ベンダーparisneo

影響範囲修正版

unspecified – latest—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-05-04
公開日2024-06-25
更新日2024-08-01
EPSS 更新日2026-04-02

未パッチ — 公開から698日経過

緩和策と回避策

この脆弱性への主な対策は、lollms-webuiを最新バージョンにアップデートすることです。アップデートが困難な場合は、一時的な回避策として、/applysettingsエンドポイントへの外部からのアクセスを制限するファイアウォールルールを実装することを検討してください。また、Webアプリケーションプロキシ（WAF）を使用して、Path Traversal攻撃を検知・防御することも有効です。ファイルシステムのアクセス権限を適切に設定し、不要なファイルの読み書きを制限することも重要です。アップデート後、/applysettingsエンドポイントに無効なパスを指定して、アクセスが拒否されることを確認してください。

修正方法翻訳中…

Actualice la aplicación parisneo/lollms-webui a la última versión disponible. Esto solucionará la vulnerabilidad de Path Traversal y RFI. Asegúrese de validar y sanear todas las entradas del usuario para prevenir futuros ataques.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-4498 — Path Traversal in lollms-webuiとは何ですか？

CVE-2024-4498は、parisneo/lollms-webuiのv9.7以降に存在するPath Traversal脆弱性です。攻撃者は、特定のパラメータを操作することで、ファイルシステム上の任意の場所にアクセスできる可能性があります。

CVE-2024-4498 in lollms-webuiに影響を受けますか？

lollms-webuiのバージョンがv9.7以降である場合、この脆弱性に影響を受ける可能性があります。バージョンを確認し、速やかにアップデートしてください。

CVE-2024-4498 in lollms-webuiを修正するにはどうすればよいですか？

lollms-webuiを最新バージョンにアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、一時的な回避策として、アクセス制限などの対策を講じてください。

CVE-2024-4498は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすく、今後積極的に攻撃される可能性があります。

CVE-2024-4498に関するlollms-webuiの公式アドバイザリはどこで入手できますか？

parisneo/lollms-webuiの公式リポジトリまたは関連するセキュリティ情報サイトで、CVE-2024-4498に関するアドバイザリを確認してください。