CVE-2024-12766 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de lollms-webui, een Python-gebaseerde webinterface voor LLaMA-achtige modellen. Deze kwetsbaarheid stelt aanvallers in staat om de server te misbruiken om ongeautoriseerde webresources te benaderen, mogelijk met de credentials van de server. De kwetsbaarheid treedt op in versies van lollms-webui tot en met de laatste beschikbare versie. Een patch is beschikbaar in de meest recente versie.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne systemen en diensten benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie-wijzigingen, of zelfs het verkrijgen van toegang tot andere systemen binnen het netwerk. De mogelijkheid om de server credentials te gebruiken om toegang te krijgen tot andere webresources vergroot de impact aanzienlijk. Het misbruik van de proxy-functionaliteit kan leiden tot een breed blast radius, afhankelijk van de interne netwerkconfiguratie en de privileges van de server.
De kwetsbaarheid is publiekelijk bekend sinds 2025-03-20. Er is geen informatie beschikbaar over actieve campagnes of KEV-listing. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend op het moment van schrijven, maar de eenvoud van de SSRF-exploitatie maakt dit waarschijnlijk. De NVD-datum is 2025-03-20.
Organizations deploying lollms-webui, particularly those exposing it to untrusted networks or using it to proxy requests to internal services, are at risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• python / server:
import requests
import json
url = 'http://your_lollms_webui_ip/api/proxy'
headers = {'Content-Type': 'application/json'}
data = json.dumps({'url': 'http://127.0.0.1:8080'}) # Test URL
response = requests.post(url, headers=headers, data=data)
if response.status_code == 200:
print("Potential SSRF detected. Review response content.")
print(response.text)
else:
print("Request failed.")• generic web:
curl -v -X POST 'http://your_lollms_webui_ip/api/proxy' -H 'Content-Type: application/json' -d '{"url":"http://127.0.0.1:8080"}'• linux / server:
journalctl -u lollms-webui -f | grep "proxy request" # Look for suspicious URLs in logsdisclosure
Exploit Status
EPSS
0.12% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-12766 is het updaten van lollms-webui naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of reverse proxy om de /api/proxy endpoint te beveiligen. Configureer de WAF om verzoeken met potentieel schadelijke URL's te blokkeren. Controleer de configuratie van lollms-webui om te verzekeren dat de forbidremoteaccess en check_access mechanismen correct zijn geconfigureerd en actief zijn. Na de upgrade, bevestig de fix door een testverzoek te sturen naar de /api/proxy endpoint met een bekende schadelijke URL en controleer of dit wordt geblokkeerd.
Werk de lollms-webui bibliotheek bij naar de nieuwste beschikbare versie. Dit zou de correctie voor de SSRF kwetsbaarheid moeten bevatten. Raadpleeg de release notes voor meer details over de update en aanvullende mitigaties.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12766 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in lollms-webui, waardoor aanvallers ongeautoriseerde webresources kunnen benaderen via de /api/proxy endpoint.
Ja, als u een versie van lollms-webui gebruikt die ≤latest is, bent u mogelijk kwetsbaar voor deze SSRF-kwetsbaarheid.
Update lollms-webui naar de meest recente versie om deze kwetsbaarheid te verhelpen. Indien een upgrade niet mogelijk is, implementeer dan een WAF.
Er is momenteel geen bevestigd bewijs van actieve exploitatie, maar de eenvoud van de kwetsbaarheid maakt dit waarschijnlijk.
Raadpleeg de GitHub repository van parisneo/lollms-webui voor de officiële advisory en release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.