Vulnerabilidad en parisneo/lollms-webui (CVE-2024-3126)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
16/05/2024
Última modificación:
09/07/2025
Descripción
Existe una vulnerabilidad de inyección de comandos en la función 'run_xtts_api_server' de la aplicación parisneo/lollms-webui, específicamente dentro del script 'lollms_xtts.py'. La vulnerabilidad surge debido a la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo. La función afectada utiliza 'subprocess.Popen' para ejecutar un comando construido con una cadena f de Python, sin desinfectar adecuadamente la entrada 'xtts_base_url'. Esta falla permite a los atacantes ejecutar comandos arbitrarios de forma remota manipulando el parámetro 'xtts_base_url'. La vulnerabilidad afecta a versiones hasta la última versión anterior a la 9.5 incluida. Una explotación exitosa podría conducir a la ejecución remota de código (RCE) arbitraria en el sistema donde se implementa la aplicación.
Impacto
Puntuación base 3.x
8.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lollms:lollms_web_ui:*:*:*:*:*:*:*:* | 9.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/parisneo/lollms-webui/commit/41dbb1b3f2e78ea276e5269544e50514252c0c25
- https://huntr.com/bounties/0e2bec70-826e-4c24-8015-31921e23fd12
- https://github.com/parisneo/lollms-webui/commit/41dbb1b3f2e78ea276e5269544e50514252c0c25
- https://huntr.com/bounties/0e2bec70-826e-4c24-8015-31921e23fd12