Podatność w aplikacji parisneo/Lollms (do wersji 2.2.0 włącznie) umożliwia nieuwierzytelnionym użytkownikom przesyłanie i przetwarzanie plików przez endpoint `/api/files/extract-text`. Jest to podatność krytyczna (CVSS 9.8), ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępna zdalnie.
▸ Pokaż oryginał (EN)
A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.
Endpoint `/api/files/extract-text` nie egzekwuje uwierzytelnienia, w przeciwieństwie do innych endpointów związanych z obsługą plików w tej samej aplikacji. Brakuje w nim zależności `Depends(get_current_active_user)`, która jest stosowana w pozostałych endpointach i odpowiada za weryfikację tożsamości użytkownika. Dowolna osoba z dostępem sieciowym do aplikacji może więc wysyłać żądania do tego endpointu i inicjować przetwarzanie plików bez jakiegokolwiek logowania.
Atakujący może doprowadzić do wyczerpania zasobów serwera (DoS przez resource exhaustion), ujawnienia informacji (information disclosure) oraz naruszenia udokumentowanych polityk bezpieczeństwa aplikacji. Ze względu na brak wymogu uwierzytelnienia atak może przeprowadzić każda osoba mająca dostęp sieciowy do usługi.
Należy zaktualizować aplikację do wersji, w której wprowadzono poprawkę opisaną w commicie a6625dc83786ff21d109b0d545ca61b770607ef3 w repozytorium GitHub. Poprawka polega na dodaniu wymaganej zależności uwierzytelniającej do endpointu `/api/files/extract-text`. Jeśli aktualizacja nie jest natychmiast możliwa, zaleca się ograniczenie dostępu sieciowego do aplikacji (np. przez firewall lub uwierzytelniający reverse proxy).
parisneo/Lollms w wersji do 2.2.0 włącznie
Podatność została zgłoszona za pośrednictwem platformy Huntr (bounty 0a722001-89ce-4c91-b6a6-a55ee5ba2113). Poprawka jest dostępna w publicznym repozytorium GitHub producenta.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLollms
APPLollms≤ 2.1.0
Powiązane podatności
Stored XSS w funkcji create_post platformy lollms — przejęcie konta
Słaby klucz JWT umożliwia privilege escalation w parisneo/lollms
Path Traversal w lollms — nieautoryzowany odczyt plików na Windows
A critical security vulnerability in parisneo/lollms versions up to 2.2.0 allows any authenticated user to acc...
A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specific...