HIGHCVE-2024-5824CVSS 7.4

parisneo/lollms 中的路径遍历漏洞

Q: 什么是 CVE-2024-5824 — 路径遍历漏洞在 lollms 中?

CVE-2024-5824 描述了 parisneo/lollms 中 `/set_personality_config` 接口的路径遍历漏洞，攻击者可以覆盖 `configs/config.yaml` 文件，可能导致远程代码执行。

Q: 我如何修复 CVE-2024-5824 在 lollms 中?

最有效的修复方法是升级到最新版本的 lollms。如果无法立即升级，请限制对 `/set_personality_config` 接口的访问并实施输入验证。

平台

python

组件

lollms

修复版本

latest

AI Confidence: highNVDEPSS 1.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-5824 描述了 parisneo/lollms 中 /setpersonalityconfig 接口的路径遍历漏洞。该漏洞允许未经授权的攻击者覆盖关键配置文件，从而可能导致远程代码执行。受影响的版本包括 lollms 的所有版本，直至最新版本。建议立即升级至最新版本以修复此漏洞。

影响与攻击场景

攻击者利用此路径遍历漏洞，可以覆盖 configs/config.yaml 文件，该文件存储了 lollms 的关键配置信息。通过修改此文件，攻击者可以控制服务器的行为，例如启用远程访问或禁用代码验证。这可能导致未经授权的访问、数据泄露，甚至完全控制 lollms 服务器。攻击者可以利用此漏洞绕过安全措施，执行恶意代码，并进一步渗透到整个网络中。类似的安全漏洞可能导致系统被完全控制，造成严重的安全事件。

利用背景

目前尚未公开已知利用此漏洞的公开 POC。该漏洞已添加到 CISA KEV 目录，表明存在中等概率被利用。NVD 已于 2024-06-27 发布此 CVE。建议密切关注安全社区的动态，及时获取最新的威胁情报。

哪些人处于风险中翻译中…

Organizations and individuals deploying lollms, particularly those with publicly accessible instances or those lacking robust access controls, are at risk. Shared hosting environments where multiple users share the same lollms instance are also particularly vulnerable, as a compromised user could potentially impact other users on the same server.

检测步骤翻译中…

• python / server:

import os
import requests

url = 'http://your-lollms-instance/set_personality_config' # Replace with your lollms instance

# Attempt path traversal
payload = "/../../../../etc/passwd"

# Send a request with the payload
response = requests.post(url, data={'personality_config': payload})

# Check the response status code
if response.status_code == 200:
    print("Potential Path Traversal Vulnerability Detected!")
else:
    print("No Path Traversal Detected.")

• generic web:

curl -I http://your-lollms-instance/set_personality_config/%2e%2e%2f%2e%2e%2fetc/passwd

• generic web:

grep -r 'force_accept_remote_access: true' /path/to/lollms/configs/config.yaml

攻击时间线

2024-06-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

1.40% (80% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件lollms

供应商parisneo

影响范围修复版本

unspecified – latestlatest

弱点分类 (CWE)

CWE-22

时间线

已保留2024-06-10
发布日期2024-06-27
修改日期2024-08-01
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即升级到最新版本的 lollms，该版本已修复此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制对 /setpersonalityconfig 接口的访问，仅允许授权用户访问。实施严格的输入验证，防止攻击者注入恶意路径。监控服务器日志，检测任何异常活动。如果升级导致问题，请回滚到之前的版本，并联系 lollms 开发者寻求支持。升级后，请验证配置文件是否已恢复到默认设置，并确认漏洞已成功修复。

修复方法翻译中…

Actualice a la última versión de lollms. El commit eda3af5f5c4ea9b2f3569f72f8d05989e29367fc corrige la vulnerabilidad de path traversal. Asegúrese de reiniciar el servidor después de la actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-5824 — 路径遍历漏洞在 lollms 中?

CVE-2024-5824 描述了 parisneo/lollms 中 /setpersonalityconfig 接口的路径遍历漏洞，攻击者可以覆盖 configs/config.yaml 文件，可能导致远程代码执行。

我是否受到 CVE-2024-5824 在 lollms 中影响?

如果您正在使用 lollms 的任何版本，直至最新版本，则可能受到此漏洞的影响。建议立即升级至最新版本。

我如何修复 CVE-2024-5824 在 lollms 中?

最有效的修复方法是升级到最新版本的 lollms。如果无法立即升级，请限制对 /setpersonalityconfig 接口的访问并实施输入验证。

CVE-2024-5824 是否正在被积极利用?

虽然目前尚未公开已知利用此漏洞的公开 POC，但该漏洞已添加到 CISA KEV 目录，表明存在中等概率被利用。

在哪里可以找到官方 lollms 关于 CVE-2024-5824 的公告?

请访问 parisneo/lollms 的官方 GitHub 仓库或相关安全公告页面，以获取有关 CVE-2024-5824 的最新信息。