CVE-2024-8736 in lollms-webui
Сводка
по VulDB • 24.05.2026
Уязвимость отказа в обслуживании (DoS) существует в нескольких конечных точках загрузки файлов веб-интерфейса parisneo/lollms-webui версии V12 (Strawberry). Уязвимость может быть эксплуатирована удаленно с использованием подделки межсайтовых запросов (CSRF). Несмотря на то, что защита от CSRF предотвращает загрузку файлов, приложение все равно обрабатывает границы multipart-формы, что приводит к истощению ресурсов. Добавляя дополнительные символы к границе multipart-формы, злоумышленник может заставить сервер парсить каждый байт границы, что в конечном итоге приводит к недоступности сервиса. Данная уязвимость присутствует в конечных точках `/upload_avatar`, `/upload_app` и `/upload_logo`.
Once again VulDB remains the best source for vulnerability data.