Vulnerabilidad en parisneo/lollms-webui (CVE-2024-1646)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/04/2024
Última modificación:
07/07/2025
Descripción
parisneo/lollms-webui es vulnerable a la omisión de autenticación debido a una protección insuficiente en los endpoints sensibles. La aplicación verifica si el parámetro del host no es '0.0.0.0' para restringir el acceso, lo cual es inadecuado cuando la aplicación está vinculada a una interfaz específica, lo que permite el acceso no autorizado a endpoints como '/restart_program', '/update_software', '/ check_update', '/start_recording' y '/stop_recording'. Esta vulnerabilidad puede provocar denegación de servicio, desactivación o anulación no autorizada de grabaciones y potencialmente otros impactos si ciertas funciones están habilitadas en la configuración.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:parisneo:lollms-webui:*:*:*:*:*:*:*:* | 9.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/parisneo/lollms-webui/commit/02e829b5653a1aa5dbbe9413ec84f96caa1274e8
- https://huntr.com/bounties/2f769c46-aa85-4ab8-8b08-fe791313b7ba
- https://github.com/parisneo/lollms-webui/commit/02e829b5653a1aa5dbbe9413ec84f96caa1274e8
- https://huntr.com/bounties/2f769c46-aa85-4ab8-8b08-fe791313b7ba