CRITICAL🇬🇧 English

CVE-2026-0558

Brak uwierzytelnienia w endpoint /api/files/extract-text w Lollms

CVSS 9.8v3.1pub. 2026-03-29upd. 2026-03-31

Podatność w aplikacji parisneo/Lollms (do wersji 2.2.0 włącznie) umożliwia nieuwierzytelnionym użytkownikom przesyłanie i przetwarzanie plików przez endpoint `/api/files/extract-text`. Jest to podatność krytyczna (CVSS 9.8), ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępna zdalnie.

Pokaż oryginał (EN)

A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.

🤖 Analiza AI
Jak działa

Endpoint `/api/files/extract-text` nie egzekwuje uwierzytelnienia, w przeciwieństwie do innych endpointów związanych z obsługą plików w tej samej aplikacji. Brakuje w nim zależności `Depends(get_current_active_user)`, która jest stosowana w pozostałych endpointach i odpowiada za weryfikację tożsamości użytkownika. Dowolna osoba z dostępem sieciowym do aplikacji może więc wysyłać żądania do tego endpointu i inicjować przetwarzanie plików bez jakiegokolwiek logowania.

Skutki

Atakujący może doprowadzić do wyczerpania zasobów serwera (DoS przez resource exhaustion), ujawnienia informacji (information disclosure) oraz naruszenia udokumentowanych polityk bezpieczeństwa aplikacji. Ze względu na brak wymogu uwierzytelnienia atak może przeprowadzić każda osoba mająca dostęp sieciowy do usługi.

Mitygacja

Należy zaktualizować aplikację do wersji, w której wprowadzono poprawkę opisaną w commicie a6625dc83786ff21d109b0d545ca61b770607ef3 w repozytorium GitHub. Poprawka polega na dodaniu wymaganej zależności uwierzytelniającej do endpointu `/api/files/extract-text`. Jeśli aktualizacja nie jest natychmiast możliwa, zaleca się ograniczenie dostępu sieciowego do aplikacji (np. przez firewall lub uwierzytelniający reverse proxy).

Kogo dotyczy

parisneo/Lollms w wersji do 2.2.0 włącznie

Uwagi

Podatność została zgłoszona za pośrednictwem platformy Huntr (bounty 0a722001-89ce-4c91-b6a6-a55ee5ba2113). Poprawka jest dostępna w publicznym repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lollms

    APP
    Lollms
    ≤ 2.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoSAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-1115CRITICAL9.6PL ✓ten sam produkt

Stored XSS w funkcji create_post platformy lollms — przejęcie konta

CVE-2026-1114CRITICAL9.8PL ✓ten sam produkt

Słaby klucz JWT umożliwia privilege escalation w parisneo/lollms

CVE-2024-3429CRITICAL9.8PL ✓ten sam produkt

Path Traversal w lollms — nieautoryzowany odczyt plików na Windows

CVE-2026-0562HIGH8.3ten sam produkt

A critical security vulnerability in parisneo/lollms versions up to 2.2.0 allows any authenticated user to acc...

CVE-2026-0560HIGH7.5ten sam produkt

A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specific...