Informazioni sul CVE-2024-1646
Authentication Bypass in parisneo/lollms-webui
CWE ID: CWE-288
Base Score (CVSS): N/A
CVE: CVE-2024-1646
Descrizione: “parisneo/lollms-webui è vulnerabile al bypass dell’autenticazione a causa di una protezione insufficiente sui punti deboli. L’applicazione verifica se il parametro host non è ‘0.0.0.0’ per limitare l’accesso, il che è insufficiente quando l’applicazione è collegata a un’interfaccia specifica, consentendo l’accesso non autorizzato a endpoint come ‘/restart_program’, ‘/update_software’, ‘/check_update’, ‘/start_recording’, e ‘/stop_recording’. Questa vulnerabilità può portare a un blackout, disabilitare o sovrascrivere registrazioni, e potenzialmente altri impatti se determinate funzionalità sono abilitate nella configurazione.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/2f769c46-aa85-4ab8-8b08-fe791313b7ba
- https://github.com/parisneo/lollms-webui/commit/02e829b5653a1aa5dbbe9413ec84f96caa1274e8
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-288
CVSS: 0.0