CRITICAL🇬🇧 English

CVE-2024-2359

Command Injection w lollms-webui — obejście zabezpieczeń i RCE

CVSS 9.8v3.1pub. 2024-06-06upd. 2024-11-21

Podatność w aplikacji parisneo/lollms-webui w wersji 9.3 umożliwia atakującemu obejście domyślnych ograniczeń dostępu i zdalne wykonanie dowolnego kodu (RCE). Krytyczny poziom zagrożenia wynika z braku uwierzytelnienia wymaganego do przeprowadzenia ataku oraz możliwości pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

A vulnerability in the parisneo/lollms-webui version 9.3 allows attackers to bypass intended access restrictions and execute arbitrary code. The issue arises from the application's handling of the `/execute_code` endpoint, which is intended to be blocked from external access by default. However, attackers can exploit the `/update_setting` endpoint, which lacks proper access control, to modify the `host` configuration at runtime. By changing the `host` setting to an attacker-controlled value, the restriction on the `/execute_code` endpoint can be bypassed, leading to remote code execution. This vulnerability is due to improper neutralization of special elements used in an OS command (`Improper Neutralization of Special Elements used in an OS Command`).

🤖 Analiza AI
Jak działa

Aplikacja domyślnie blokuje zewnętrzny dostęp do endpointu `/execute_code`, który służy do wykonywania kodu. Jednak endpoint `/update_setting` nie posiada właściwej kontroli dostępu, co pozwala niezautoryzowanemu atakującemu na modyfikację konfiguracji aplikacji w czasie działania. Atakujący może zmienić parametr `host` na wartość przez siebie kontrolowaną, co skutkuje ominięciem blokady endpointu `/execute_code`. W konsekwencji możliwe jest wykonanie dowolnych poleceń systemowych poprzez command injection (CWE-78) wynikający z nieprawidłowej neutralizacji znaków specjalnych w poleceniach systemu operacyjnego.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze hostującym aplikację bez żadnego uwierzytelnienia, co prowadzi do pełnego naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Rekomenduje się również ograniczenie dostępu sieciowego do instancji lollms-webui wyłącznie do zaufanych hostów oraz monitorowanie wywołań endpointów `/update_setting` i `/execute_code`.

Kogo dotyczy

parisneo/lollms-webui w wersji 9.3

Uwagi

Podatność została zgłoszona za pośrednictwem platformy huntr.com (bug bounty). Szczegóły techniczne dostępne pod adresem: https://huntr.com/bounties/62144831-8d4b-4cf2-9737-5e559f7bc67e

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    9.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2360CRITICAL9.8PL ✓ten sam produkt

Path Traversal prowadzący do RCE w parisneo/lollms-webui