Informazioni sul CVE-2024-5125
XSS and Open Redirect via SVG File Upload in parisneo/lollms-webui
CWE ID: CWE-434
Base Score (CVSS): N/A
CVE: CVE-2024-5125
Descrizione: parisneo/lollms-webui version 9.6 is vulnerable to Cross-Site Scripting (XSS) and Open Redirect due to inadequate input validation and processing of SVG files during the upload process. The XSS vulnerability allows attackers to embed malicious JavaScript code within SVG files, which is executed upon rendering, leading to potential credential theft and unauthorized data access. The Open Redirect vulnerability arises from insufficient URL validation within SVG files, enabling attackers to redirect users to malicious websites, thereby exposing them to phishing attacks, malware distribution, and reputation damage. These vulnerabilities are present in the application’s functionality to send files to the AI module.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/e6ae8cfd-9f8b-41df-a0cc-1e7a47416995
- https://github.com/parisneo/lollms-webui/commit/9b0f6c4ad1b9a2cd3466dcefaa278df30feed67e
Prodotti interessati
- parisneo – parisneo/lollms-webui
Relazioni con altri prodotti
Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-434
CVSS: 0.0