CVE-2024-6971 in lollms-webuiinformation

Résumé

par VulDB • 23/06/2026

Une vulnérabilité de traversée de chemin existe dans le dépôt parisneo/lollms-webui, plus précisément dans le fichier `lollms_file_system.py`. Les fonctions `add_rag_database`, `toggle_mount_rag_database` et `vectorize_folder` ne mettent pas en œuvre de mesures de sécurité telles que `sanitize_path_from_endpoint` ou `sanitize_path`. Cela permet à un attaquant d'effectuer des opérations de vectorisation sur les fichiers `.sqlite` situés dans n'importe quel répertoire de l'ordinateur de la victime, potentiellement conduisant à l'installation de plusieurs packages et provoquant un plantage.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

@huntr Ai

Réserver

22/07/2024

Divulgation

11/10/2024

Modérer

accepté

Entrée

VDB-280055

CPE

prêt

EPSS

0.00316

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!