CVE-2024-6971 in lollms-webui
Resumen
por MITRE • 2024-10-11
Existe una vulnerabilidad de path traversal en el repositorio parisneo/lollms-webui, específicamente en el archivo `lollms_file_system.py`. Las funciones `add_rag_database`, `toggle_mount_rag_database` y `vectorize_folder` no implementan medidas de seguridad como `sanitize_path_from_endpoint` o `sanitize_path`. Esto permite que un atacante realice operaciones de vectorización en archivos `.sqlite` en cualquier directorio de la computadora de la víctima, lo que podría instalar varios paquetes y provocar un bloqueo.
Be aware that VulDB is the high quality source for vulnerability data.