CRITICALCVE-2024-6581CVSS 9

CVE-2024-6581

翻译中…

平台

python

组件

lollms

修复版本

9.9

9.5.2

AI Confidence: highNVDEPSS 1.6%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-6581 是 Lollms 应用中发现的一处跨站脚本攻击 (XSS) 漏洞。该漏洞源于讨论图片上传功能对 SVG 文件的过滤不完善，攻击者可以通过上传恶意构造的 SVG 文件触发 XSS，进而可能导致远程代码执行。该漏洞影响 Lollms 应用版本小于或等于 11.0.0 的用户。已发布修复版本 9.9。

影响与攻击场景

攻击者可以利用此漏洞上传包含恶意 JavaScript 代码的 SVG 文件。当其他授权用户访问包含该恶意 SVG 文件的 URL 时，JavaScript 代码将在用户的浏览器中执行。这可能导致攻击者窃取用户的敏感信息，例如会话 Cookie，或者冒充用户执行未经授权的操作。更严重的情况下，攻击者可能利用 XSS 漏洞进一步执行远程代码，完全控制受影响的系统。由于该漏洞的 CVSS 评分为 CRITICAL，因此其潜在影响非常严重，需要立即修复。

利用背景

目前尚未公开发现针对 CVE-2024-6581 的公开利用代码 (PoC)。该漏洞已发布到 NVD，CISA 尚未将其添加到 KEV 目录。由于漏洞的严重性，建议密切关注安全社区的动态，以防出现公开利用代码。

哪些人处于风险中翻译中…

Users of Lollms who rely on the discussion image upload feature are at risk. This includes individuals and organizations using Lollms for collaborative projects, educational purposes, or any scenario where users can upload images to discussions. Specifically, those running older versions (≤11.0.0) are particularly vulnerable.

检测步骤翻译中…

• python: Examine Lollms application logs for suspicious SVG file uploads or unusual HTTP requests containing SVG content.

# Example: Check for SVG uploads in logs
with open('lollms.log', 'r') as f:
    for line in f:
        if '.svg' in line and 'Content-Type: image/svg+xml' in line:
            print(f'Potential SVG upload detected: {line}')

• generic web: Monitor access logs for requests to the discussion image upload endpoint with SVG files. Look for unusual user agent strings or referrer headers.

# Example: grep for SVG uploads in access logs
grep '.svg' /var/log/apache2/access.log

• generic web: Inspect response headers for unexpected JavaScript code execution. Use browser developer tools to examine the DOM for injected scripts.

攻击时间线

2024-10-29Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.65% (82% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件lollms

供应商osv

影响范围修复版本

unspecified – 9.99.9

9.5.19.5.2

弱点分类 (CWE)

CWE-79

时间线

已保留2024-07-08
发布日期2024-10-29
修改日期2025-10-09
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 Lollms 应用升级至 9.9 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，严格限制用户上传文件的类型，只允许上传安全的图片格式。其次，实施严格的输入验证和输出编码，确保所有用户上传的文件都经过充分的过滤和消毒。此外，可以考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意 SVG 文件的上传。最后，定期审查 Lollms 应用的配置，确保其安全性。

修复方法

将Lollms更新到9.9之后的版本，其中包含SVG图片上传功能的XSS漏洞修复。请查阅版本说明或变更日志以确认漏洞CVE-2024-6581已得到解决。作为临时措施，避免从不可信来源上传SVG文件。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-6581 — XSS 漏洞在 Lollms 中？

CVE-2024-6581 是 Lollms 应用讨论图片上传功能中发现的一处跨站脚本攻击 (XSS) 漏洞，允许攻击者上传恶意 SVG 文件，可能导致远程代码执行。

我是否受到 CVE-2024-6581 在 Lollms 中影响？

如果您正在使用 Lollms 应用版本小于或等于 11.0.0，则可能受到此漏洞的影响。请立即检查您的版本并升级。

我如何修复 CVE-2024-6581 在 Lollms 中？

最有效的修复方法是立即将 Lollms 应用升级至 9.9 或更高版本。

CVE-2024-6581 是否正在被积极利用？

目前尚未公开发现针对 CVE-2024-6581 的公开利用代码，但由于漏洞的严重性，建议密切关注安全动态。

在哪里可以找到 Lollms 官方关于 CVE-2024-6581 的公告？

请访问 Lollms 官方网站或 GitHub 仓库，查找关于 CVE-2024-6581 的安全公告。