CRITICAL🇬🇧 English

CVE-2024-4320

RCE via path traversal w endpointcie /install_extension aplikacji lollms-webui

CVSS 9.8v3.1pub. 2024-06-06upd. 2024-11-21

Krytyczna podatność umożliwiająca zdalne wykonanie kodu (RCE) występuje w endpointcie '/install_extension' aplikacji parisneo/lollms-webui. Atakujący bez uwierzytelnienia i bez interakcji użytkownika może wykonać dowolny kod na serwerze poprzez wykorzystanie podatności path traversal.

Pokaż oryginał (EN)

A remote code execution (RCE) vulnerability exists in the '/install_extension' endpoint of the parisneo/lollms-webui application, specifically within the `@router.post("/install_extension")` route handler. The vulnerability arises due to improper handling of the `name` parameter in the `ExtensionBuilder().build_extension()` method, which allows for local file inclusion (LFI) leading to arbitrary code execution. An attacker can exploit this vulnerability by crafting a malicious `name` parameter that causes the server to load and execute a `__init__.py` file from an arbitrary location, such as the upload directory for discussions. This vulnerability affects the latest version of parisneo/lollms-webui and can lead to remote code execution without requiring user interaction, especially when the application is exposed to an external endpoint or operated in headless mode.

🤖 Analiza AI
Jak działa

Podatność wynika z niewłaściwej obsługi parametru `name` w metodzie `ExtensionBuilder().build_extension()` wywoływanej przez handler trasy `@router.post("/install_extension")`. Atakujący przesyła spreparowany parametr `name`, który powoduje, że serwer ładuje i wykonuje plik `__init__.py` z dowolnej lokalizacji w systemie plików — na przykład z katalogu przesyłania plików dyskusji (upload directory). Jest to przypadek Local File Inclusion (LFI) prowadzący bezpośrednio do wykonania arbitralnego kodu.

Skutki

Atakujący może zdalnie wykonać dowolny kod na serwerze bez uwierzytelnienia, co prowadzi do pełnego przejęcia systemu, w tym naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do endpointu '/install_extension' wyłącznie do zaufanych sieci lub użytkowników oraz unikanie wystawiania aplikacji na zewnętrzne interfejsy sieciowe.

Kogo dotyczy

Najnowsza wersja aplikacji parisneo/lollms-webui — szczególnie narażone instalacje dostępne z zewnętrznego endpointu sieciowego lub działające w trybie headless

Uwagi

Podatność jest szczególnie groźna w scenariuszach, gdy aplikacja działa w trybie headless lub jest dostępna publicznie — atak nie wymaga żadnej interakcji po stronie użytkownika. Szczegóły techniczne dostępne w raporcie na platformie huntr.com.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms Web Ui

    APP
    Lollms
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-33340CRITICAL9.1PL ✓ten sam produkt

SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów

CVE-2024-8898CRITICAL9.8PL ✓ten sam produkt

Path traversal w API install/uninstall lollms-webui V12 (Strawberry)

CVE-2024-8581CRITICAL9.1PL ✓ten sam produkt

Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku

CVE-2024-1873CRITICAL9.1PL ✓ten sam produkt

Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui

CVE-2024-2359CRITICAL9.8PL ✓ten sam produkt

Command Injection w lollms-webui — obejście zabezpieczeń i RCE