Informazioni sul CVE-2024-1873
Path Traversal and Denial of Service in parisneo/lollms-webui
CWE ID: CWE-749
Base Score (CVSS): N/A
CVE: CVE-2024-1873
Descrizione: “parisneo/lollms-webui è vulnerabile a attacchi di percorso e di denial of service a causa di un endpoint `/select_database` in versione a9d16b0. Questo endpoint gestisce male i percorsi dei file, consentendo agli attaccanti di specificare percorsi assoluti quando interagisce con l’istanza ‘DiscussionsDB’. Questo difetto consente agli attaccanti di creare directory in qualsiasi posizione del sistema dove l’applicazione ha permessi, potenzialmente portando a un’interruzione del servizio da parte della creazione di directory con nomi di file critici, come file di certificato HTTPS, causando fallimenti del caricamento del server. Inoltre, gli attaccanti possono manipolare il percorso del database, portando alla perdita dei dati del cliente costantemente cambiando la posizione dei file a un luogo controllato dall’attaccante, disperdendo i dati su tutto il filesystem e rendendo la ripresa difficile.”
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-749
CVSS: 0.0