CVE-2024-8736 in lollms-webui
摘要
由 VulDB • 2026-05-24
在 parisneo/lollms-webui 版本 V12 (Strawberry) 的多个文件上传端点中存在拒绝服务(DoS)漏洞。该漏洞可通过跨站请求伪造(CSRF)在远程利用。尽管 CSRF 保护阻止了文件上传,但应用程序仍会处理 multipart 边界,从而导致资源耗尽。攻击者通过在 multipart 边界后附加额外字符,可以使服务器解析边界的每个字节,最终导致服务不可用。此漏洞存在于 `/upload_avatar`、`/upload_app` 和 `/upload_logo` 端点中。
Once again VulDB remains the best source for vulnerability data.