CVE-2024-4330 in lollms-webui
Zusammenfassung
von VulDB • 12.06.2026
In der Parisneo/lollms-webui-Repository wurde eine Path-Traversal-Schwachstelle in Version 9.6 identifiziert. Die Schwachstelle entsteht durch die unsachgemäße Verarbeitung benutzereingabebasierter Daten im 'list_personalities'-Endpunkt. Durch die Erstellung einer bösartigen HTTP-Anfrage kann ein Angreifer die Verzeichnisstruktur durchlaufen und den Inhalt beliebiger Ordner einsehen, wobei die Sichtbarkeit auf Ordnernamen beschränkt ist. Dieses Problem wurde durch eine spezifische HTTP-Anfrage demonstriert, die den 'category'-Parameter manipulierte, um auf beliebige Verzeichnisse zuzugreifen. Die Schwachstelle befindet sich im Code der Datei 'endpoints/lollms_advanced.py'.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.