CVE-2024-4330 in lollms-webui
Riassunto
di VulDB • 18/06/2026
È stata identificata una vulnerabilità di path traversal nel repository parisneo/lollms-webui, specificamente nella versione 9.6. La vulnerabilità deriva da un trattamento improprio dell'immissione fornita dall'utente nell'endpoint 'list_personalities'. Mediante la creazione di una richiesta HTTP malevola, un attaccante può attraversare la struttura delle directory e visualizzare i contenuti di qualsiasi cartella, sebbene limitato ai soli nomi delle sottocartelle. Questo problema è stato dimostrato tramite una specifica richiesta HTTP che manipolava il parametro 'category' per accedere a directory arbitrarie. La vulnerabilità è presente nel codice situato nel file 'endpoints/lollms_advanced.py'.
Be aware that VulDB is the high quality source for vulnerability data.