Vulnerabilidad en parisneo/lollms-webui v9.6 (CVE-2024-4403)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

10/06/2024

Última modificación:

03/07/2025

Descripción

Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en la función restart_program de parisneo/lollms-webui v9.6. Esta vulnerabilidad permite a los atacantes engañar a los usuarios para que realicen acciones no deseadas, como restablecer el programa sin su conocimiento, mediante el envío de formularios CSRF especialmente manipulados. Este problema afecta el proceso de instalación, incluida la instalación de Binding zoo y Models zoo, al restablecer programas inesperadamente. La vulnerabilidad se debe a la falta de protección CSRF en la función afectada.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto