HIGHCVE-2024-9597CVSS 7.1

parisneo/lollms 中的路径遍历漏洞

Q: 什么是 CVE-2024-9597 — 路径遍历漏洞在 lollms 中？

CVE-2024-9597 是 lollms v12 及更早版本中 `/wipe_database` 接口中的一个路径遍历漏洞，允许攻击者删除系统上的任意目录。

Q: 我如何修复 CVE-2024-9597 在 lollms 中？

目前没有官方的修复版本。建议限制对 `/wipe_database` 接口的访问并实施严格的输入验证。

平台

python

组件

parisneo/lollms

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2024-9597 是 lollms v12 及更早版本中 /wipe_database 接口中的路径遍历漏洞。此漏洞允许攻击者删除系统上的任意目录，造成严重的数据丢失风险。该漏洞源于 key 参数的输入验证不足，攻击者可以利用此漏洞执行未经授权的删除操作。建议尽快升级到修复版本或实施缓解措施。

影响与攻击场景

攻击者可以利用此路径遍历漏洞删除 lollms 服务器上的任意目录。这可能导致系统文件被删除，应用程序配置被破坏，甚至整个操作系统崩溃。攻击者可以利用此漏洞完全控制受影响的系统，并可能进一步访问其他敏感数据或服务。由于 /wipe_database 接口的权限问题，攻击者无需身份验证即可执行此操作，使得攻击面非常广泛。此漏洞的潜在影响类似于其他路径遍历漏洞，可能导致数据泄露、系统中断和安全事件。

利用背景

此漏洞已公开披露，并且可能存在公开的利用代码。虽然目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，攻击者可能会积极寻找利用机会。该漏洞尚未被添加到 CISA KEV 目录中，但应将其视为高风险漏洞并尽快修复。

哪些人处于风险中翻译中…

Organizations deploying lollms, particularly those running the latest version without proper input validation or access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are especially vulnerable, as a compromise of one user's lollms instance could lead to the compromise of the entire server.

检测步骤翻译中…

• python / server:

import os
import requests

url = 'http://your-lollms-server/wipe_database?key=../../../../etc/passwd'

try:
    response = requests.get(url)
    if response.status_code == 200:
        print("Potential Path Traversal detected!")
    else:
        print("Request failed.")
except requests.exceptions.RequestException as e:
    print(f"Error: {e}")

• linux / server:

journalctl -u lollms -f | grep "wipe_database"

• generic web:

curl -I http://your-lollms-server/wipe_database?key=../../../../etc/passwd

攻击时间线

2025-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

EPSS

0.06% (20% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件parisneo/lollms

供应商parisneo

影响范围修复版本

unspecified – latest—

弱点分类 (CWE)

CWE-22

时间线

已保留2024-10-07
发布日期2025-03-20
EPSS 更新日期2026-04-02

未修复 — 披露已430天

缓解措施和替代方案

由于目前没有官方的修复版本，建议采取以下缓解措施来降低风险。首先，限制对 /wipe_database 接口的访问，只允许授权用户访问。其次，实施严格的输入验证，确保 key 参数只接受预期的值。可以使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。此外，定期备份数据，以便在发生数据丢失时能够快速恢复。最后，监控系统日志，查找任何异常活动，并及时响应。

修复方法翻译中…

Actualice la biblioteca parisneo/lollms a la última versión disponible. Esto solucionará la vulnerabilidad de path traversal en el endpoint `/wipe_database`. Asegúrese de validar y sanitizar correctamente las entradas del usuario, especialmente el parámetro `key`, para evitar la manipulación de rutas de archivos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2024-9597 — 路径遍历漏洞在 lollms 中？

CVE-2024-9597 是 lollms v12 及更早版本中 /wipe_database 接口中的一个路径遍历漏洞，允许攻击者删除系统上的任意目录。

我是否受到 CVE-2024-9597 在 lollms 中影响？

如果您正在运行 lollms v12 或更早版本，则您可能受到此漏洞的影响。请立即采取缓解措施。

我如何修复 CVE-2024-9597 在 lollms 中？

目前没有官方的修复版本。建议限制对 /wipe_database 接口的访问并实施严格的输入验证。

CVE-2024-9597 是否正在积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，攻击者可能会积极寻找利用机会。

在哪里可以找到 lollms 官方关于 CVE-2024-9597 的公告？

请访问 lollms 的官方网站或 GitHub 仓库，查找有关此漏洞的公告。