Informazioni sul CVE-2024-2358
Path Traversal leading to Remote Code Execution in parisneo/lollms-webui
CWE ID: CWE-29
Base Score (CVSS): N/A
CVE: CVE-2024-2358
Descrizione: Una vulnerabilità di percorsi di navigazione in `/apply_settings` dell’endpoint di parisneo/lollms-webui consente agli attaccanti di eseguire codice arbitrario. La vulnerabilità deriva da una scarsa sanificazione dell’input fornito dall’utente nelle impostazioni di configurazione, in particolare nel parametro ‘extensions’. Gli attaccanti possono sfruttare questa vulnerabilità creando un payload che include sequenze di percorso relativo (‘../../../’), consentendo loro di navigare in directory arbitrarie. Questo difetto consente al server di caricare e eseguire un file ‘__init__.py’ malevolo, portando a esecuzione di codice remoto. Questo problema si applica alla versione più recente di parisneo/lollms-webui.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-29
CVSS: 0.0