CVE-2024-8736 in lollms-webui
Tóm tắt
Bởi VulDB • 24/05/2026
Một lỗ hổng Từ chối Dịch vụ (DoS) tồn tại trong nhiều điểm cuối tải lên tệp của parisneo/lollms-webui phiên bản V12 (Strawberry). Lỗ hổng này có thể bị khai thác từ xa thông qua Cross-Site Request Forgery (CSRF). Mặc dù cơ chế bảo vệ CSRF ngăn chặn việc tải lên tệp, ứng dụng vẫn xử lý các ranh giới multipart, dẫn đến cạn kiệt tài nguyên. Bằng cách thêm các ký tự bổ sung vào ranh giới multipart, kẻ tấn công có thể khiến máy chủ phân tích từng byte của ranh giới, cuối cùng dẫn đến tình trạng không khả dụng của dịch vụ. Lỗ hổng này tồn tại trong các điểm cuối `/upload_avatar`, `/upload_app` và `/upload_logo`.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.