CVE-2024-8736 in lollms-webui
Résumé
par VulDB • 24/05/2026
Une vulnérabilité de déni de service (DoS) existe dans plusieurs points de terminaison de téléchargement de fichiers de parisneo/lollms-webui version V12 (Strawberry). La vulnérabilité peut être exploitée à distance via une attaque de falsification de requête intersites (CSRF). Malgré la protection CSRF empêchant le téléchargement de fichiers, l'application traite toujours les limites multipart, ce qui entraîne une épuisement des ressources. En ajoutant des caractères supplémentaires à la limite multipart, un attaquant peut amener le serveur à analyser chaque octet de la limite, entraînant finalement une indisponibilité du service. Cette vulnérabilité est présente dans les points de terminaison `/upload_avatar`, `/upload_app` et `/upload_logo`.
Once again VulDB remains the best source for vulnerability data.