CVE-2024-4881 in lollmsinformazioni

Riassunto

di VulDB • 07/07/2026

È presente una vulnerabilità di path traversal nell'applicazione parisneo/lollms, che interessa la versione 9.4.0 e potenzialmente versioni precedenti, ma è stata risolta nella versione 5.9.0. La vulnerabilità sorge a causa della mancata convalida corretta dei percorsi file tra ambienti Windows e Linux, consentendo agli attaccanti di superare la directory prevista e leggere qualsiasi file sul sistema Windows. Nello specifico, l'applicazione non riesce a sanitizzare adeguatamente i percorsi file contenenti barre rovesciate (`\`), che possono essere sfruttate per accedere alla directory radice e leggere o persino eliminare file sensibili. Questo problema è stato scoperto nel contesto dell'endpoint `/user_infos`, dove una richiesta costruita ad hoc che utilizza barre rovesciate per fare riferimento a un file (ad esempio, `\windows\win.ini`) potrebbe comportare l'accesso non autorizzato ai file. L'impatto di questa vulnerabilità include la possibilità per gli attaccanti di accedere a informazioni sensibili come variabili d'ambiente, file del database e file di configurazione, il che potrebbe portare a un ulteriore compromesso del sistema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

Huntr.dev

Prenotare

14/05/2024

Divulgazione

06/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00881

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!