Informazioni sul CVE-2024-1601
SQL Injection in parisneo/lollms-webui
CWE ID: CWE-89
Base Score (CVSS): N/A
CVE: CVE-2024-1601
Descrizione: Una vulnerabilità di iniezione SQL esiste nella funzione `delete_discussion()` dell’applicazione parisneo/lollms-webui, consentendo a un attaccante di eliminare tutte le discussioni e i dati di messaggio. La vulnerabilità è sfruttabile tramite una richiesta HTTP personalizzata al `/delete_discussion` endpoint, che internamente chiama la funzione vulnerabile `delete_discussion()`. Inviando un payload specialmente creato nel parametro ‘id’, un attaccante può manipolare le query SQL per eliminare tutti i record dalle tabelle ‘discussion’ e ‘message’. Questo problema è dovuto a una mancata neutralizzazione di elementi speciali utilizzati in una query SQL.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/652a176e-6bd7-4161-8775-63a34ecc71d5
- https://github.com/parisneo/lollms-webui/commit/f0bc8f2babdfd4770a5adbf3b60ec612e4f1db46
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-89
CVSS: 0.0