CVE-2024-6971 in lollms-webui
Résumé
par VulDB • 23/06/2026
Une vulnérabilité de traversée de chemin existe dans le dépôt parisneo/lollms-webui, plus précisément dans le fichier `lollms_file_system.py`. Les fonctions `add_rag_database`, `toggle_mount_rag_database` et `vectorize_folder` ne mettent pas en œuvre de mesures de sécurité telles que `sanitize_path_from_endpoint` ou `sanitize_path`. Cela permet à un attaquant d'effectuer des opérations de vectorisation sur les fichiers `.sqlite` situés dans n'importe quel répertoire de l'ordinateur de la victime, potentiellement conduisant à l'installation de plusieurs packages et provoquant un plantage.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.