Informazioni sul CVE-2024-3322
Path Traversal in parisneo/lollms-webui
CWE ID: CWE-22
Base Score (CVSS): N/A
CVE: CVE-2024-3322
Descrizione: Una vulnerabilità di percorsi di percorsi esistente nel ‘native personality’ nativo di cyber_security/codeguard nella parisneo/lollms-webui, che colpisce versioni fino a 9.5. La vulnerabilità si verifica a causa di una limitazione impropria del percorso di una stringa di dati a un directory limitata nel processo ‘process_folder’ all’interno di ‘lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py. In particolare, la funzione fallisce a non sanificare correttamente l’input utente per la ‘code_folder_path’, consentendo a un attaccante di specificare percorsi arbitrari utilizzando ‘../’ o percorsi assoluti. Questo difetto porta a capacità di lettura e sovrascrittura di file in directory specificate senza limitazioni, rappresentando un significativo rischio di divulgazione di informazioni sensibili e manipolazione di file non limitate, ponendo un rischio significativo per la divulgazione di informazioni sensibili e manipolazione di file non limitate.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/e0822362-033a-4a71-b1dc-d803f03bd427
- https://github.com/parisneo/lollms-webui/commit/1e17df01e01d4d33599db2afaafe91d90b6f0189
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-22
CVSS: 0.0