Informazioni sul CVE-2024-1522
Cross-Site Request Forgery (CSRF) Leading to Remote Code Execution in parisneo/lollms-webui
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-1522
Descrizione: Una vulnerabilità Cross-Site Request Forgery (CSRF) nel progetto parisneo/lollms-webui consente agli attaccanti remoti di eseguire codice arbitrario sul sistema della vittima. La vulnerabilità deriva dall’endpoint `/execute_code` che non valida correttamente le richieste, consentendo a un attaccante di creare una pagina web malevola che, quando visitata da una vittima, invia un modulo al proprio instance lollms-webui locale per eseguire comandi OS arbitrari. Questo problema consente agli attaccanti di prendere il pieno controllo del sistema della vittima senza richiedere necessariamente un accesso di rete diretto alla applicazione vulnerabile.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/687cef92-3432-4d6c-af92-868eccabbb71
- https://github.com/parisneo/lollms-webui/commit/0b51063119cfb5e391925d232a4af1de9dc32e2b
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-352
CVSS: 0.0