Vulnerabilidad en parisneo/lollms-webui (CVE-2024-2362)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/06/2024

Última modificación:

13/02/2025

Descripción

Existe una vulnerabilidad de path traversal en parisneo/lollms-webui versión 9.3 en la plataforma Windows. Debido a una validación inadecuada de las rutas de los archivos entre los entornos Windows y Linux, un atacante puede aprovechar esta vulnerabilidad para eliminar cualquier archivo del sistema. El problema surge de la falta de una sanitización adecuada de la entrada proporcionada por el usuario en el endpoint &#39;del_preset&#39;, donde la aplicación no logra evitar el uso de rutas absolutas o secuencias de directory traversal (&#39;..&#39;). Como resultado, un atacante puede enviar una solicitud especialmente manipulada al endpoint &#39;del_preset&#39; para eliminar archivos fuera del directorio deseado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto