Informazioni sul CVE-2024-7033

Arbitrary File Write in open-webui/open-webui

CWE ID: CWE-29

Base Score (CVSS): N/A

CVE: CVE-2024-7033

Descrizione: In version 0.3.8 of open-webui/open-webui, an arbitrary file write vulnerability exists in the download_model endpoint. When deployed on Windows, the application improperly handles file paths, allowing an attacker to manipulate the file path to write files to arbitrary locations on the server’s filesystem. This can result in overwriting critical system or application files, causing denial of service, or potentially achieving remote code execution (RCE). RCE can allow an attacker to execute malicious code with the privileges of the user running the application, leading to a full system compromise.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://huntr.com/bounties/7078261f-8414-4bb7-9d72-a2a4d8bfd5d1

Prodotti interessati

open-webui – open-webui/open-webui

Relazioni con altri prodotti

Produttore:open-webui
Prodotto: open-webui/open-webui
Anno: 2024
CWE: CWE-29
CVSS: 0.0