Vulnerabilidad en parisneo/lollms-webui (CVE-2024-1511)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

10/04/2024

Última modificación:

09/07/2025

Descripción

El repositorio parisneo/lollms-webui es susceptible a una vulnerabilidad de path traversal debido a una validación inadecuada de las rutas de archivo proporcionadas por el usuario. Esta falla permite que un atacante no autenticado lea, escriba y, en ciertas configuraciones, ejecute archivos arbitrarios en el servidor mediante la explotación de varios endpoints. La vulnerabilidad puede explotarse incluso cuando el servicio está vinculado a localhost, a través de solicitudes entre sitios facilitadas por páginas HTML/JS maliciosas.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto