Lollms
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.28317
Распределение по критичности
Критический
4
Высокий
3
Средний
3
Низкий
1
Затронутые диапазоны версий
< 5.9.0< 9.6≤ 2.1.0
Также сопоставлено как (исходные строки): lollms
Топ уязвимостей
CVE-2026-1114В парисонной версии 2.1.0 управление сеансами приложения уязвимо для неправильного контроля доступа из-за использования слабого секретного ключа для подписи JSON Web Tokens (JWT). Эта уязвимость позволяет злоумышленнику выполнить офлайн-атаку грубой силы, чтобы восстановить секретный ключ. Как только секретный ключ получен, злоумышленник может подделывать административные токены, изменяя полезную нагрузку JWT и увольняя ее с взломанным секретом. Это позволяет неавторизованным пользователям создавать привилегии, выдавать себя за администратора и получать доступ к ограниченным конечным точкам. Вопрос решен в версии 2.2.0.
CVE-2026-0558Отказ в обслуживании в LoLLMs
CVE-2024-3429В приложении parisneo/lollms существует уязвимость обхода пути, в частности, в функциях `sanitize_path_from_endpoint` и `sanitize_path` в `lollms_core\lollms\security.py`. Эта уязвимость позволяет читать произвольные файлы, когда приложение работает в Windows. Проблема возникает из-за недостаточной очистки предоставленных пользователем входных данных, что позволяет злоумышленникам обходить механизмы защиты от обхода пути, создавая вредоносные входные данные. Успешная эксплуатация может привести к несанкционированному доступу к конфиденциальным файлам, раскрытию информации и потенциально к отказу в обслуживании (DoS) путем включения многочисленных больших или ресурсоемких файлов. Эта уязвимость затрагивает последнюю версию до 9.6.
CVE-2026-1115Уязвимость хранимого межсайтового скринирования (XSS) была идентифицирована в социальной функции parisneo/lollms, затрагивающей последнюю версию до 2.2.0. Уязвимость существует в функции `create_post` в `backend/routers/social/__init__.py`, где пользовательский контент непосредственно назначается модели `DBPost` без дезинфекции. Это позволяет злоумышленникам вводить и хранить вредоносный JavaScript, который выполняется в браузерах пользователей, просматривающих Домашнюю ленту, включая администраторов. Это может привести к захвату счетов, захвату сеансов и червячным атакам. Вопрос решен в версии 2.2.0.
CVE-2026-0562Критическая уязвимость безопасности в версиях parisneo/lollms до 2.2.0 позволяет любому аутентифицированному пользователю принимать или отклонять запросы друзей, принадлежащие другим пользователям. Функция `respond_request()` в `backend/routers/friends.py` не обеспечивает надлежащих проверок авторизации, что позволяет осуществлять атаки небезопасного прямого объекта (IDOR). В частности, конечная точка `/api/friends/refriendship_id}` не проверяет, является ли аутентифицированный пользователь частью дружбы или предполагаемым получателем запроса. Эта уязвимость может привести к несанкционированному доступу, нарушениям конфиденциальности и потенциальным атакам на социальную инженерию. Этот вопрос был рассмотрен в версии 2.2.0.
CVE-2026-0560Уязвимость Server-Side Regery (SSRF) существует в версиях parisneo/lollms до 2.2.0, в частности, в конечной точке `/api/files/export-content`. Функция `_download_image_to_temp()` в `backend/routers/files.py` не в состоянии проверить URL-адреса, управляемые пользователем, что позволяет злоумышленникам делать произвольные HTTP-запросы на внутренние службы и конечные точки метаданных облака. Эта уязвимость может привести к внутреннему доступу к сети, доступу к метаданным в облаку, раскрытию информации, сканированию портов и, возможно, удаленному исполнению кода.
CVE-2024-4881Уязвимость обхода пути существует в приложении parisneo/lollms, затрагивающая версию 9.4.0 и, возможно, более ранние версии, но исправленная в версии 5.9.0. Уязвимость возникает из-за неправильной проверки путей к файлам между средами Windows и Linux, что позволяет злоумышленникам выходить за пределы предполагаемого каталога и читать любой файл в системе Windows. В частности, приложению не удается адекватно обработать пути к файлам, содержащие обратные слэши (`\`), которые можно использовать для доступа к корневому каталогу и чтения или даже удаления конфиденциальных файлов. Эта проблема была обнаружена в контексте конечной точки `/user_infos`, где специально созданный запрос с использованием обратных слэшей для ссылки на файл (например, `\windows\win.ini`) может привести к несанкционированному доступу к файлу. Последствия этой уязвимости включают потенциальную возможность для злоумышленников получить доступ к конфиденциальной информации, такой как переменные среды, файлы баз данных и файлы конфигурации, что может привести к дальнейшему компрометации системы.
CVE-2024-4499Уязвимость межсайтовой подделки запросов (CSRF) существует в XTTS-сервере parisneo/lollms версии 9.6 из-за нестрогой политики CORS. Уязвимость позволяет злоумышленникам выполнять несанкционированные действия, обманом заставляя пользователя посетить вредоносную веб-страницу, которая затем может запускать произвольные запросы LoLLMS-XTTS API. Эта проблема может привести к чтению и записи аудиофайлов и, в сочетании с другими уязвимостями, может позволить читать произвольные файлы в системе и записывать файлы за пределами разрешенного местоположения аудиофайлов.
CVE-2026-1116Уязвимость поперечного сценического сценария (XSS) была идентифицирована в методе `from_dict` класса `AppLollmsMessage` в parisneo/lollms до версии 2.2.0. Уязвимость возникает из-за отсутствия дезинфекции или HTML-кодирования поля «Контент» при дезериализации данных, предоставляемых пользователями. Это позволяет злоумышленнику вводить вредоносные полезные нагрузки HTML или JavaScript, которые могут быть выполнены в контексте браузера другого пользователя. Эксплуатация этой уязвимости может привести к поглощению, захвату сеансов или червячным атакам.
CVE-2024-6985Уязвимость обхода пути существует в конечной точке api open_personality_folder parisneo/lollms-webui. Эта уязвимость позволяет злоумышленнику читать любую папку в personality_folder на компьютере жертвы, даже если sanitize_path установлен. Проблема возникает из-за неправильной очистки параметра personality_folder, который можно использовать для обхода каталогов и доступа к произвольным файлам.
CVE-2024-3121Уязвимость удаленного выполнения кода существует в функции create_conda_env репозитория parisneo/lollms, версия 5.9.0. Уязвимость возникает из-за использования shell=True в функции subprocess.Popen, что позволяет злоумышленнику внедрять произвольные команды, манипулируя параметрами env_name и python_version. Эта проблема может привести к серьезному нарушению безопасности, о чем свидетельствует возможность выполнения команды 'whoami' среди потенциально других вредоносных команд.