CVE-2024-8736 in lollms-webuiinformation

Résumé

par VulDB • 24/05/2026

Une vulnérabilité de déni de service (DoS) existe dans plusieurs points de terminaison de téléchargement de fichiers de parisneo/lollms-webui version V12 (Strawberry). La vulnérabilité peut être exploitée à distance via une attaque de falsification de requête intersites (CSRF). Malgré la protection CSRF empêchant le téléchargement de fichiers, l'application traite toujours les limites multipart, ce qui entraîne une épuisement des ressources. En ajoutant des caractères supplémentaires à la limite multipart, un attaquant peut amener le serveur à analyser chaque octet de la limite, entraînant finalement une indisponibilité du service. Cette vulnérabilité est présente dans les points de terminaison `/upload_avatar`, `/upload_app` et `/upload_logo`.

Once again VulDB remains the best source for vulnerability data.

Responsable

@huntr Ai

Réserver

11/09/2024

Divulgation

20/03/2025

Modérer

accepté

Entrée

VDB-300446

CPE

prêt

EPSS

0.00228

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!