HIGHCVE-2024-3322CVSS 8.4

parisneo/lollms-webui 中的路径遍历漏洞

平台

python

组件

parisneo/lollms-webui

修复版本

9.5

AI Confidence: highNVDEPSS 0.8%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-3322 是 lollms-webui 的 codeguard 角色中的路径遍历漏洞。此漏洞允许攻击者读取服务器上的任意文件，可能导致敏感信息泄露。该漏洞影响 lollms-webui 版本小于等于 9.5。已发布修复版本 9.5。

影响与攻击场景

攻击者可以利用此路径遍历漏洞通过构造恶意的 codefolderpath 参数，访问 lollms-webui 服务器文件系统中的任意文件。攻击者可以读取包含敏感信息的文件，例如配置文件、密钥、数据库凭据等。如果攻击者能够读取包含代码的文件，他们可能能够进一步利用这些代码来执行恶意操作，例如代码注入或远程代码执行。此漏洞的潜在影响包括敏感数据泄露、系统完整性受损，甚至可能导致服务器被完全控制。

利用背景

该漏洞已公开披露，存在公开的利用代码的可能性。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。

哪些人处于风险中翻译中…

Organizations deploying lollms-webui, particularly those utilizing the 'cyber_security/codeguard' personality, are at risk. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromise of one user's instance could potentially lead to access to other users' data.

检测步骤翻译中…

• linux / server:

find /opt/lollms-webui -name 'processor.py' -print0 | xargs -0 grep -i 'code_folder_path'

• python / supply-chain: Inspect the processor.py file within the lollms-webui/zoos/personalitieszoo/cybersecurity/codeguard/scripts/ directory for the vulnerable process_folder function and lack of proper input sanitization. • generic web: Attempt to access files outside the intended directory using path traversal sequences in the URL (e.g., /zoos/personalitieszoo/cybersecurity/codeguard/../../../../etc/passwd).

攻击时间线

2024-06-06Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.79% (74% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件parisneo/lollms-webui

供应商parisneo

影响范围修复版本

unspecified – 9.59.5

弱点分类 (CWE)

CWE-22

时间线

已保留2024-04-04
发布日期2024-06-06
修改日期2024-08-01
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 lollms-webui 升级至 9.5 或更高版本。如果升级不可行，可以尝试限制 codefolderpath 参数的访问权限，只允许访问预定义的目录。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以拦截包含 '../' 或绝对路径的请求。监控服务器日志，查找可疑的文件访问尝试，并及时采取行动。

修复方法翻译中…

Actualice a una versión posterior a la 9.5. La vulnerabilidad se encuentra en la función 'process_folder' del archivo 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. La actualización corrige la sanitización de la entrada 'code_folder_path' para evitar el recorrido de directorios.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-3322 — 路径遍历漏洞在 lollms-webui 中的问题？

CVE-2024-3322 是 lollms-webui 的 codeguard 角色中的一个路径遍历漏洞，允许攻击者读取服务器上的任意文件。

我是否受到 CVE-2024-3322 在 lollms-webui 中的影响？

如果您正在使用 lollms-webui 版本小于等于 9.5，则可能受到此漏洞的影响。

我如何修复 CVE-2024-3322 在 lollms-webui 中的问题？

升级至 lollms-webui 9.5 或更高版本以修复此漏洞。

CVE-2024-3322 是否正在被积极利用？

虽然尚未观察到大规模的利用活动，但由于漏洞的易利用性，建议尽快采取缓解措施。

在哪里可以找到 lollms-webui 中 CVE-2024-3322 的官方公告？

请查阅 lollms-webui 的官方安全公告或 GitHub 仓库以获取更多信息。