Informazioni sul CVE-2024-12766
SSRF in parisneo/lollms-webui
CWE ID: CWE-918
Base Score (CVSS): N/A
CVE: CVE-2024-12766
Descrizione: “Il fork parisneo/lollms-webui versione V13 (feather) presenta una vulnerabilità di Forgery di Richiesta sul Lato Server (SSRF) nel REST API `POST /api/proxy`. Gli attaccanti possono sfruttare questa vulnerabilità per abusare delle credenziali del server della vittima, specificando il parametro JSON `{“url”:”http://steal.target”}`. Le meccanismi di sicurezza esistenti, come `forbid_remote_access(lollmsElfServer)`, `lollmsElfServer.config.headless_server_mode`, e `check_access(lollmsElfServer, request.client_id)`, non proteggono da questa vulnerabilità.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-918
CVSS: 0.0