Plataforma
python
Componente
parisneo/lollms-webui
Corrigido em
9.5
Uma vulnerabilidade de Path Traversal foi identificada no componente 'cyber_security/codeguard' da lollms-webui, desenvolvida por parisneo. Essa falha permite que um atacante acesse arquivos arbitrários no sistema, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta versões até 9.5 da lollms-webui e foi publicada em 06 de junho de 2024. A correção está disponível na versão 9.5.
A vulnerabilidade de Path Traversal permite que um atacante contorne as restrições de diretório e acesse arquivos sensíveis no servidor. Ao explorar essa falha, um invasor pode ler arquivos de configuração, chaves de API, dados de usuários e outros dados confidenciais. O impacto potencial inclui a exposição de informações confidenciais, comprometimento da integridade do sistema e possível execução remota de código, dependendo das permissões dos arquivos acessados. A exploração bem-sucedida pode levar a um comprometimento completo do servidor, permitindo que o atacante execute comandos arbitrários e roube dados. A falta de validação adequada do caminho fornecido pelo usuário na função 'process_folder' é a raiz do problema.
A vulnerabilidade CVE-2024-3322 foi divulgada publicamente em 06 de junho de 2024. Não há informações disponíveis sobre sua inclusão no KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de um EPSS (Exploit Prediction Score System) score. Atualmente, não há relatos públicos de exploração ativa dessa vulnerabilidade, mas a natureza da falha (Path Traversal) a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar qualquer atividade maliciosa relacionada a essa vulnerabilidade.
Organizations deploying lollms-webui, particularly those utilizing the 'cyber_security/codeguard' personality, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to access to other users' data.
• linux / server:
find /opt/lollms-webui -name 'processor.py' -print0 | xargs -0 grep -i 'code_folder_path'• python / supply-chain:
Inspect the processor.py file within the lollms-webui/zoos/personalitieszoo/cybersecurity/codeguard/scripts/ directory for the vulnerable process_folder function and lack of proper input sanitization.
• generic web:
Attempt to access files outside the intended directory using path traversal sequences in the URL (e.g., /zoos/personalitieszoo/cybersecurity/codeguard/../../../../etc/passwd).
disclosure
Status do Exploit
EPSS
0.79% (percentil 74%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-3322 é atualizar a lollms-webui para a versão 9.5 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente controles de acesso rigorosos para restringir o acesso aos arquivos sensíveis. Considere a implementação de uma Web Application Firewall (WAF) com regras para bloquear tentativas de Path Traversal, como padrões de URL contendo '../'. Além disso, revise e reforce as permissões de arquivos e diretórios para garantir que apenas os usuários autorizados tenham acesso aos recursos críticos. Monitore os logs do sistema em busca de tentativas de acesso não autorizado a arquivos.
Actualice a una versión posterior a la 9.5. La vulnerabilidad se encuentra en la función 'process_folder' del archivo 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. La actualización corrige la sanitización de la entrada 'code_folder_path' para evitar el recorrido de directorios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-3322 is a Path Traversal vulnerability in parisneo/lollms-webui versions up to 9.5, allowing attackers to potentially read arbitrary files.
You are affected if you are using lollms-webui versions 9.5 or earlier. Upgrade to version 9.5 to mitigate the risk.
Upgrade lollms-webui to version 9.5 or later. Consider implementing WAF rules to block suspicious path traversal attempts.
As of now, there are no confirmed reports of active exploitation of CVE-2024-3322.
Refer to the parisneo/lollms-webui project's repository and release notes for the official advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.