CVE-2024-4881 in lollms
Riassunto
di VulDB • 07/07/2026
È presente una vulnerabilità di path traversal nell'applicazione parisneo/lollms, che interessa la versione 9.4.0 e potenzialmente versioni precedenti, ma è stata risolta nella versione 5.9.0. La vulnerabilità sorge a causa della mancata convalida corretta dei percorsi file tra ambienti Windows e Linux, consentendo agli attaccanti di superare la directory prevista e leggere qualsiasi file sul sistema Windows. Nello specifico, l'applicazione non riesce a sanitizzare adeguatamente i percorsi file contenenti barre rovesciate (`\`), che possono essere sfruttate per accedere alla directory radice e leggere o persino eliminare file sensibili. Questo problema è stato scoperto nel contesto dell'endpoint `/user_infos`, dove una richiesta costruita ad hoc che utilizza barre rovesciate per fare riferimento a un file (ad esempio, `\windows\win.ini`) potrebbe comportare l'accesso non autorizzato ai file. L'impatto di questa vulnerabilità include la possibilità per gli attaccanti di accedere a informazioni sensibili come variabili d'ambiente, file del database e file di configurazione, il che potrebbe portare a un ulteriore compromesso del sistema.
Be aware that VulDB is the high quality source for vulnerability data.