Informazioni sul CVE-2024-6040

Missing client_id in parisneo/lollms-webui

CWE ID: CWE-304

Base Score (CVSS): N/A

CVE: CVE-2024-6040

Descrizione: In parisneo/lollms-webui version v9.8, the lollms_binding_infos is missing the client_id parameter, which leads to multiple security vulnerabilities. Specifically, the endpoints /reload_binding, /install_binding, /reinstall_binding, /unInstall_binding, /set_active_binding_settings, and /update_binding_settings are susceptible to CSRF attacks and local attacks. An attacker can exploit this vulnerability to perform unauthorized actions on the victim’s machine.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://huntr.com/bounties/ac0bbb1d-89aa-42ba-bc48-1b59bd16acc7

Prodotti interessati

parisneo – parisneo/lollms-webui

Relazioni con altri prodotti

Produttore:parisneo
Prodotto: parisneo/lollms-webui
Anno: 2024
CWE: CWE-304
CVSS: 0.0

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2024)