CVE-2024-4330 in lollms-webuiinformazioni

Riassunto

di VulDB • 18/06/2026

È stata identificata una vulnerabilità di path traversal nel repository parisneo/lollms-webui, specificamente nella versione 9.6. La vulnerabilità deriva da un trattamento improprio dell'immissione fornita dall'utente nell'endpoint 'list_personalities'. Mediante la creazione di una richiesta HTTP malevola, un attaccante può attraversare la struttura delle directory e visualizzare i contenuti di qualsiasi cartella, sebbene limitato ai soli nomi delle sottocartelle. Questo problema è stato dimostrato tramite una specifica richiesta HTTP che manipolava il parametro 'category' per accedere a directory arbitrarie. La vulnerabilità è presente nel codice situato nel file 'endpoints/lollms_advanced.py'.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Huntr.dev

Prenotare

29/04/2024

Divulgazione

30/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00285

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!