Podatność w parisneo/lollms-webui w wersjach do 9.3 umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Wynika ona z niewystarczającej ochrony endpointów `/apply_settings` oraz `/execute_code`, co czyni ją szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
A vulnerability in parisneo/lollms-webui versions up to 9.3 allows remote attackers to execute arbitrary code. The vulnerability stems from insufficient protection of the `/apply_settings` and `/execute_code` endpoints. Attackers can bypass protections by setting the host to localhost, enabling code execution, and disabling code validation through the `/apply_settings` endpoint. Subsequently, arbitrary commands can be executed remotely via the `/execute_code` endpoint, exploiting the delay in settings enforcement. This issue was addressed in version 9.5.
Atakujący może ominąć mechanizmy ochronne poprzez ustawienie wartości hosta na localhost w żądaniu do endpointu `/apply_settings`, co pozwala na włączenie wykonywania kodu i jednoczesne wyłączenie walidacji kodu. Następnie, wykorzystując opóźnienie w egzekwowaniu nowych ustawień, atakujący wysyła żądanie do endpointu `/execute_code` z dowolnymi poleceniami do wykonania. W efekcie możliwe jest zdalne wykonanie arbitralnych komend systemowych bez konieczności posiadania jakichkolwiek uprawnień.
Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa aplikacja — w tym dostęp do poufnych danych, możliwość modyfikacji systemu oraz jego destabilizacji (naruszenie poufności, integralności i dostępności).
Należy zaktualizować lollms-webui do wersji 9.5 lub nowszej, w której podatność została naprawiona. Patch dostępny jest w repozytorium GitHub producenta (commit abb4c6d495a95a3ef5b114ffc57f85cd650b905e).
parisneo/lollms-webui w wersjach do 9.3 włącznie
Podatność zgłoszona za pośrednictwem platformy huntr.com. Problem dotyczył opóźnienia w egzekwowaniu ustawień (race condition na poziomie logiki aplikacji), co umożliwiało okno czasowe do wykonania złośliwego kodu.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLollms Web Ui
APPLollms< 9.5
Powiązane podatności
SSRF i brak uwierzytelnienia w lollms-webui — dostęp do wewnętrznych zasobów
Path traversal w API install/uninstall lollms-webui V12 (Strawberry)
Path Traversal w lollms-webui umożliwia usunięcie dowolnego pliku
Path Traversal i DoS w endpoint /select_database aplikacji lollms-webui
Command Injection w lollms-webui — obejście zabezpieczeń i RCE