Vulnerabilidad en parisneo/lollms-webui (CVE-2024-4897)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/07/2024

Última modificación:

09/07/2025

Descripción

parisneo/lollms-webui, en su última versión, es vulnerable a la ejecución remota de código debido a una dependencia insegura de la versión llama-cpp-python llama_cpp_python-0.2.61+cpuavx2-cp311-cp311-manylinux_2_31_x86_64. La vulnerabilidad surge de la función &#39;binding_zoo&#39; de la aplicación, que permite a los atacantes cargar e interactuar con un archivo de modelo malicioso alojado en hugging-face, lo que lleva a la ejecución remota de código. El problema está relacionado con una vulnerabilidad conocida en llama-cpp-python, CVE-2024-34359, que no ha sido parcheada en lollms-webui a partir de el commit b454f40a. La vulnerabilidad se puede explotar mediante el manejo de archivos de modelo por parte de la aplicación en la función &#39;bindings_zoo&#39;, específicamente cuando se procesan archivos de modelo en formato gguf.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto