HIGHCVE-2024-6281CVSS 7.3

LoLLMS 存在预期行为违规漏洞

平台

python

组件

lollms

修复版本

9.5.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-6281是一个路径遍历漏洞，影响到parisneo/lollms的早期版本（小于等于9.5.0）。该漏洞源于applysettings函数中对discussiondb_name参数的安全性不足，攻击者可以利用此漏洞操纵文件路径。成功利用此漏洞可能导致攻击者写入重要系统文件夹，造成严重的安全风险。建议立即升级至9.5.1版本以修复此漏洞。

影响与攻击场景

该路径遍历漏洞允许攻击者通过操纵discussiondbname参数，访问并写入lollms应用程序之外的文件系统。攻击者可以利用此漏洞覆盖关键配置文件、执行恶意代码或窃取敏感数据。潜在的影响包括系统完整性受损、数据泄露以及未经授权的访问。由于该漏洞允许攻击者写入系统文件，因此可能导致更广泛的攻击，例如权限提升和横向移动。如果lollms应用程序运行在具有特权访问权限的环境中，则攻击的影响将更加严重。

利用背景

该漏洞已公开披露，并已发布在NVD中。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用。该漏洞的CVSS评分为7.3（高），表明其具有较高的风险。建议尽快采取缓解措施，以降低潜在的风险。

哪些人处于风险中翻译中…

Users running lollms versions prior to 9.5.1, particularly those with lax file access permissions or who are running lollms in environments with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same server and file system are also particularly vulnerable.

检测步骤翻译中…

• python / server:

import os
import glob

# Check for suspicious files in lollms directories
restricted_dirs = ['/path/to/lollms/data', '/path/to/lollms/config']
for dir in restricted_dirs:
    for file in glob.glob(os.path.join(dir, '..*')): # Look for '..' in filenames
        print(f'Suspicious file found: {file}')

• linux / server:

# Check lollms process for unusual file access
lsof -p $(pgrep lollms) | grep '/../'

• generic web:

curl 'http://your-lollms-server/apply_settings?discussion_db_name=../../../../etc/passwd' -s | grep 'etc/passwd'

攻击时间线

2024-07-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.08% (24% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件lollms

供应商osv

影响范围修复版本

unspecified – 9.5.19.5.1

—9.5.1

弱点分类 (CWE)

CWE-22

时间线

已保留2024-06-23
发布日期2024-07-20
修改日期2025-10-15
EPSS 更新日期2026-04-02

披露后-26天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将lollms升级至9.5.1版本或更高版本。如果升级不可行，可以考虑以下临时缓解措施：首先，限制lollms应用程序的访问权限，使其只能访问必要的文件和目录。其次，实施严格的文件访问控制，以防止未经授权的写入操作。第三，监控lollms应用程序的日志文件，以检测任何可疑活动。此外，可以使用Web应用程序防火墙（WAF）来过滤恶意请求，并阻止攻击者利用该漏洞。升级后，请验证sanitize_path函数是否正确处理用户输入，以确保漏洞已得到修复。

修复方法翻译中…

Actualice la biblioteca parisneo/lollms a la versión 9.5.1 o superior. Esto corrige la vulnerabilidad de path traversal en la función `apply_settings` al asegurar correctamente el parámetro `discussion_db_name`. La actualización previene que atacantes manipulen la ruta y escriban en carpetas importantes del sistema.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2024-6281 — 路径遍历漏洞在lollms中？

CVE-2024-6281是一个路径遍历漏洞，影响到parisneo/lollms版本小于等于9.5.0。攻击者可以利用此漏洞操纵文件路径，并可能写入重要系统文件夹。

我是否受到CVE-2024-6281在lollms中影响？

如果您正在运行parisneo/lollms版本小于等于9.5.0，则您可能受到此漏洞的影响。请立即升级至9.5.1版本或更高版本。

我如何修复CVE-2024-6281在lollms中？

最有效的修复方法是立即将lollms升级至9.5.1版本或更高版本。如果升级不可行，请实施临时缓解措施，例如限制访问权限和监控日志文件。

CVE-2024-6281是否正在被积极利用？

目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会出现利用。

在哪里可以找到parisneo/lollms官方关于CVE-2024-6281的公告？

请访问parisneo/lollms的官方GitHub仓库或相关安全公告页面，以获取有关CVE-2024-6281的最新信息和修复指南。