HIGHCVE-2024-9597CVSS 7.1

parisneo/lollms におけるパス・トラバーサル

Q: CVE-2024-9597 — パス・トラバーサル脆弱性は、lollmsで何が起こりますか？

CVE-2024-9597は、lollmsの`/wipe_database`エンドポイントにおいて、攻撃者が任意のディレクトリを削除できるパス・トラバーサル脆弱性です。

プラットフォーム

python

コンポーネント

parisneo/lollms

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-9597は、parisneo/lollmsのv12以前のバージョンにおけるパス・トラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上の任意のディレクトリを削除できてしまいます。影響を受けるバージョンはv12以前です。2025年3月20日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が/wipe_databaseエンドポイントに特別に細工されたHTTPリクエストを送信することで、システム上の任意のディレクトリを削除することを可能にします。これにより、重要なシステムファイルや設定ファイルが失われる可能性があり、システムの完全な停止やデータ漏洩につながる可能性があります。攻撃者は、この脆弱性を悪用して、機密情報を盗み出したり、マルウェアをインストールしたりすることも考えられます。特に、データベースを管理する重要なディレクトリが削除された場合、サービス全体の停止に繋がる重大な影響が想定されます。

悪用の状況

CVE-2024-9597は、2025年3月20日に公開されました。現時点では、KEVリストに登録されていません。公開されているPoCは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。攻撃者は、この脆弱性を悪用して、システムへの不正アクセスやデータ改ざんを試みる可能性があります。

リスク対象者翻訳中…

Organizations deploying lollms, particularly those running the latest version without proper input validation or access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's lollms instance could lead to the compromise of the entire server.

検出手順翻訳中…

• python / server:

import os
import requests

url = 'http://your-lollms-server/wipe_database?key=../../../../etc/passwd'

try:
    response = requests.get(url)
    if response.status_code == 200:
        print("Potential Path Traversal detected!")
    else:
        print("Request failed.")
except requests.exceptions.RequestException as e:
    print(f"Error: {e}")

• linux / server:

journalctl -u lollms -f | grep "wipe_database"

• generic web:

curl -I http://your-lollms-server/wipe_database?key=../../../../etc/passwd

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.06% (20% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントparisneo/lollms

ベンダーparisneo

影響範囲修正版

unspecified – latest—

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-10-07
公開日2025-03-20
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

この脆弱性への対応策として、まず、parisneo/lollmsを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、/wipedatabaseエンドポイントへのアクセスを制限するWAFルールやプロキシ設定を実装することを検討してください。また、ファイルパスの検証を強化するカスタムコードを実装することも有効です。アップデート後、システムにログインし、/wipedatabaseエンドポイントへのアクセスを試み、正常にアクセスできないことを確認してください。

修正方法翻訳中…

Actualice la biblioteca parisneo/lollms a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal en el endpoint `/wipe_database`. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro `key`, para evitar la manipulación de rutas de archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-9597 — パス・トラバーサル脆弱性は、lollmsで何が起こりますか？

CVE-2024-9597は、lollmsの/wipe_databaseエンドポイントにおいて、攻撃者が任意のディレクトリを削除できるパス・トラバーサル脆弱性です。

CVE-2024-9597でlollmsを使用している場合、影響を受けますか？

parisneo/lollmsのv12以前のバージョンを使用している場合は、この脆弱性に影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2024-9597でlollmsを修正するにはどうすればよいですか？

パリジオ/lollmsを最新バージョンにアップデートしてください。アップデートが難しい場合は、WAFルールやプロキシ設定で/wipe_databaseエンドポイントへのアクセスを制限してください。

CVE-2024-9597は積極的に悪用されていますか？

現時点では、CVE-2024-9597の悪用事例は確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。

CVE-2024-9597に関する公式lollmsのアドバイザリはどこで入手できますか？

パリジオ/lollmsの公式アドバイザリは、パリジオのウェブサイトで確認できます。