Lollms Web Ui
Уязвимости
46
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.48214
Распределение по критичности
Критический
18
Высокий
18
Средний
9
Низкий
1
Затронутые диапазоны версий
9.0–9.29.0–9.69.6–9.8< 10< 9.3< 9.4< 9.5< 9.8
Также сопоставлено как (исходные строки): lollms_web_ui
Топ уязвимостей
CVE-2024-8898Уязвимость обхода пути существует в API-эндпоинтах `install` и `uninstall` версии parisneo/lollms-webui V12 (Strawberry). Эта уязвимость позволяет злоумышленникам создавать или удалять каталоги с произвольными путями в системе. Проблема возникает из-за недостаточной санитарной обработки входных данных, предоставленных пользователем, что может быть использовано для обхода каталогов вне предполагаемого пути.
CVE-2024-5482Уязвимость Server-Side Request Forgery (SSRF) существует в конечной точке 'add_webpage' приложения parisneo/lollms-webui, затрагивающей последнюю версию. Уязвимость возникает из-за того, что приложение неадекватно проверяет URL-адреса, введенные пользователями, позволяя им вводить произвольные URL-адреса, в том числе те, которые нацелены на внутренние ресурсы, такие как 'localhost' или '127.0.0.1'. Этот недостаток позволяет злоумышленникам выполнять несанкционированные запросы к внутренним или внешним системам, что потенциально может привести к доступу к конфиденциальным данным, нарушению обслуживания, компрометации целостности сети, манипулированию бизнес-логикой и злоупотреблению ресурсами третьих лиц. Проблема является критической и требует немедленного внимания для поддержания безопасности и целостности приложения.
CVE-2024-4326Уязвимость в parisneo/lollms-webui версий до 9.3 позволяет удаленным злоумышленникам выполнять произвольный код. Уязвимость связана с недостаточной защитой конечных точек `/apply_settings` и `/execute_code`. Злоумышленники могут обойти защиту, установив хост на localhost, включив выполнение кода и отключив проверку кода через конечную точку `/apply_settings`. Впоследствии произвольные команды могут выполняться удаленно через конечную точку `/execute_code`, используя задержку в применении настроек. Эта проблема была решена в версии 9.5.
CVE-2024-4320Существует уязвимость удаленного выполнения кода (RCE) в конечной точке '/install_extension' приложения parisneo/lollms-webui, в частности, в обработчике маршрута `@router.post("/install_extension")`. Уязвимость возникает из-за неправильной обработки параметра `name` в методе `ExtensionBuilder().build_extension()`, что допускает включение локальных файлов (LFI), приводящее к произвольному выполнению кода. Злоумышленник может использовать эту уязвимость, создав вредоносный параметр `name`, который заставляет сервер загружать и выполнять файл `__init__.py` из произвольного места, например, из каталога загрузки для обсуждений. Эта уязвимость затрагивает последнюю версию parisneo/lollms-webui и может привести к удаленному выполнению кода без необходимости взаимодействия с пользователем, особенно когда приложение предоставляется во внешнюю конечную точку или работает в безголовом режиме.
CVE-2024-3322В 'cyber_security/codeguard' native personality parisneo/lollms-webui существует уязвимость обхода пути, затрагивающая версии до 9.5. Уязвимость возникает из-за неправильного ограничения имени пути к ограниченному каталогу в функции 'process_folder' в 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. В частности, функция не может должным образом очистить предоставленные пользователем входные данные для 'code_folder_path', позволяя злоумышленнику указывать произвольные пути, используя '../' или абсолютные пути. Этот недостаток приводит к произвольному чтению файлов и возможностям перезаписи в указанных каталогах без ограничений, что создает значительный риск раскрытия конфиденциальной информации и несанкционированного манипулирования файлами.
CVE-2024-2624Уязвимость обхода пути и произвольной загрузки файлов существует в приложении parisneo/lollms-webui, особенно в конечной точке `@router.get("/switch_personal_path")` в `./lollms-webui/lollms_core/lollms/server/endpoints/lollms_user.py`. Уязвимость возникает из-за недостаточной очистки пользовательского ввода для параметра `path`, что позволяет злоумышленнику указывать произвольные пути в файловой системе. Этот недостаток позволяет напрямую загружать произвольные файлы, утечку `personal_data` и перезаписывать конфигурации в `lollms-webui`->`configs`, используя тот же именованный каталог в `personal_data`. Проблема затрагивает последнюю версию приложения и исправлена в версии 9.4. Успешная эксплуатация может привести к раскрытию конфиденциальной информации, несанкционированной загрузке файлов и потенциально удаленному выполнению кода путем перезаписи критических файлов конфигурации.
CVE-2024-2360parisneo/lollms-webui уязвим для атак обхода пути, которые могут привести к удаленному выполнению кода из-за недостаточной очистки входных данных, предоставляемых пользователем, в настройках 'Путь к базе данных' и 'Путь к PDF LaTeX'. Злоумышленник может использовать эту уязвимость, манипулируя этими настройками для выполнения произвольного кода на целевом сервере. Проблема затрагивает последнюю версию программного обеспечения. Уязвимость возникает из-за обработки приложением параметров 'discussion_db_name' и 'pdf_latex_path', которые не проверяют должным образом пути к файлам, что позволяет обходить каталоги. Эта уязвимость также может привести к дальнейшему раскрытию файлов и другим векторам атак путем манипулирования параметром 'discussion_db_name'.
CVE-2024-2359Уязвимость в parisneo/lollms-webui версии 9.3 позволяет злоумышленникам обходить предполагаемые ограничения доступа и выполнять произвольный код. Проблема возникает из-за обработки приложением эндпоинта `/execute_code`, который по умолчанию должен быть заблокирован для внешнего доступа. Однако злоумышленники могут использовать эндпоинт `/update_setting`, которому не хватает надлежащего контроля доступа, для изменения конфигурации `host` во время выполнения. Изменив настройку `host` на контролируемое злоумышленником значение, можно обойти ограничение на эндпоинт `/execute_code`, что приведет к удаленному выполнению кода. Эта уязвимость связана с неправильной нейтрализацией специальных элементов, используемых в команде ОС («Неправильная нейтрализация специальных элементов, используемых в команде ОС»).
CVE-2024-2358Уязвимость обхода пути в эндпоинте '/apply_settings' parisneo/lollms-webui позволяет злоумышленникам выполнять произвольный код. Уязвимость возникает из-за недостаточной очистки входных данных, предоставляемых пользователем, в настройках конфигурации, особенно в параметре 'extensions'. Злоумышленники могут использовать это, создав полезную нагрузку, которая включает последовательности обхода относительного пути ('../../../'), позволяющие им переходить к произвольным каталогам. Этот недостаток впоследствии позволяет серверу загружать и выполнять вредоносный файл '__init__.py', что приводит к удаленному выполнению кода. Проблема затрагивает последнюю версию parisneo/lollms-webui.
CVE-2024-1520В конечной точке '/open_code_folder' приложения parisneo/lollms-webui существует уязвимость внедрения команд ОС из-за неправильной проверки предоставленных пользователем данных в параметре 'discussion_id'. Злоумышленники могут использовать эту уязвимость, внедрив вредоносные команды ОС, что приведет к несанкционированному выполнению команд в базовой операционной системе. Это может привести к несанкционированному доступу, утечке данных или полному компрометации системы.
CVE-2024-1511Репозиторий parisneo/lollms-webui подвержен уязвимости обхода пути из-за неадекватной проверки предоставленных пользователем путей к файлам. Этот недостаток позволяет неаутентифицированному злоумышленнику читать, записывать, а в некоторых конфигурациях выполнять произвольные файлы на сервере, используя различные конечные точки. Уязвимость можно использовать, даже если служба привязана к localhost, с помощью межсайтовых запросов, облегченных вредоносными HTML/JS-страницами.
CVE-2024-2361Уязвимость в parisneo/lollms-webui позволяет произвольно загружать и читать файлы из-за недостаточной очистки входных данных, предоставляемых пользователем. В частности, проблема заключается в функции `install_model()` в `lollms_core/lollms/binding.py`, где приложение не может должным образом очистить протокол `file://` и другие входные данные, что приводит к произвольным возможностям чтения и загрузки. Злоумышленники могут использовать эту уязвимость, манипулируя параметрами `path` и `variant_name` для достижения обхода пути, что позволяет читать произвольные файлы и загружать файлы в произвольные места на сервере. Эта уязвимость затрагивает последнюю версию parisneo/lollms-webui.
CVE-2024-1600Уязвимость Local File Inclusion (LFI) существует в приложении parisneo/lollms-webui, а именно в маршруте `/personalities`. Злоумышленник может использовать эту уязвимость, создав URL-адрес, включающий последовательности обхода каталогов (`../../`), за которыми следует желаемый путь к системному файлу, закодированный в URL. Успешная эксплуатация позволяет злоумышленнику читать любой файл в файловой системе, доступный для веб-сервера. Эта проблема возникает из-за неправильного контроля имени файла для оператора include/require в приложении.
CVE-2026-33340LoLLMs WEBUI предоставляет веб-интерфейс для Lord of Large Language и Multimdal Systems. Критическая уязвимость подделки запросов на серверную сторону (SSRF) была идентифицирована во всех известных существующих версиях "lollms-webui". Конечная точка `@@router.post("/api/proxy")` позволяет неаффентированным злоумышленникам заставлять сервер делать произвольные запросы GET. Это может быть использовано для доступа к внутренним услугам, сканирования локальных сетей или эксфильтрации чувствительных облачных метаданных (например, токенов AWS/GCP IAM). На момент публикации не имеется известных исправленных версий.
CVE-2024-8581Уязвимость в функции `upload_app` parisneo/lollms-webui V12 (Strawberry) позволяет злоумышленнику удалять любые файлы или директории на системе. Функция не реализует фильтрацию пользовательского ввода для значения `filename`, что приводит к ошибке обхода пути.
CVE-2024-2362Уязвимость обхода пути существует в parisneo/lollms-webui версии 9.3 на платформе Windows. Из-за неправильной проверки путей к файлам между средами Windows и Linux злоумышленник может использовать эту уязвимость для удаления любого файла в системе. Проблема возникает из-за отсутствия надлежащей очистки входных данных, предоставляемых пользователем, в эндпоинте 'del_preset', где приложение не может предотвратить использование абсолютных путей или последовательностей обхода каталогов ('..'). В результате злоумышленник может отправить специально созданный запрос в эндпоинт 'del_preset' для удаления файлов за пределами предполагаемого каталога.
CVE-2024-1873lunary-ai/lunary уязвим для обхода пути и атак типа «отказ в обслуживании» из-за открытой конечной точки `/select_database` в версии a9d16b0. Конечная точка неправильно обрабатывает пути к файлам, позволяя злоумышленникам указывать абсолютные пути при взаимодействии с экземпляром `DiscussionsDB`. Этот недостаток позволяет злоумышленникам создавать каталоги в любом месте системы, где у приложения есть разрешения, что потенциально может привести к отказу в обслуживании путем создания каталогов с именами критически важных файлов, таких как файлы сертификатов HTTPS, что приведет к сбоям при запуске сервера. Кроме того, злоумышленники могут манипулировать путем к базе данных, что приведет к потере данных клиента из-за постоянного изменения местоположения файла на местоположение, контролируемое злоумышленником, рассеивая данные по файловой системе и затрудняя восстановление.
CVE-2024-2366В приложении parisneo/lollms-webui существует уязвимость удаленного выполнения кода, в частности, в функциональности reinstall_binding в lollms_core/lollms/server/endpoints/lollms_binding_infos.py последней версии. Уязвимость возникает из-за недостаточной очистки пути, что позволяет злоумышленнику использовать обход пути для перехода к произвольным каталогам. Манипулируя binding_path, чтобы указать на контролируемый каталог, и загружая вредоносный файл __init__.py, злоумышленник может выполнить произвольный код на сервере.
CVE-2024-9920В версии v12 parisneo/lollms-webui функция 'Отправить файл в AL' позволяет загружать файлы с различными расширениями, включая потенциально опасные, такие как .py, .sh, .bat и другие. Атакующие могут использовать это, загружая файлы с вредоносным содержимым, а затем используя конечную точку API '/open_file' для выполнения этих файлов. Уязвимость возникает из-за использования 'subprocess.Popen' для открытия файлов без соответствующей проверки, что может привести к удаленному выполнению кода.
CVE-2024-6040В parisneo/lollms-webui версии v9.8 в lollms_binding_infos отсутствует параметр client_id, что приводит к множественным уязвимостям безопасности. В частности, конечные точки /reload_binding, /install_binding, /reinstall_binding, /unInstall_binding, /set_active_binding_settings и /update_binding_settings восприимчивы к CSRF-атакам и локальным атакам. Злоумышленник может использовать эту уязвимость для выполнения несанкционированных действий на компьютере жертвы.
CVE-2024-1522Уязвимость подделки межсайтовых запросов (CSRF) в проекте parisneo/lollms-webui позволяет удаленным злоумышленникам выполнять произвольный код в системе жертвы. Уязвимость связана с конечной точкой API `/execute_code`, которая не проверяет должным образом запросы, что позволяет злоумышленнику создать вредоносную веб-страницу, которая при посещении жертвой отправляет форму в локальный экземпляр lollms-webui жертвы для выполнения произвольных команд ОС. Эта проблема позволяет злоумышленникам получить полный контроль над системой жертвы, не требуя прямого сетевого доступа к уязвимому приложению.
CVE-2024-9919Отсутствие проверки подлинности на конечной точке деинсталляции parisneo/lollms-webui V13 позволяет злоумышленникам выполнять несанкционированные удаления каталогов. Конечная точка API /uninstall/{app_name} не вызывает функцию check_access(), чтобы проверить client_id, что позволяет злоумышленникам удалять каталоги без надлежащей аутентификации.
CVE-2024-4897parisneo/lollms-webui, в своей последней версии, уязвим для удаленного выполнения кода из-за небезопасной зависимости от llama-cpp-python версии llama_cpp_python-0.2.61+cpuavx2-cp311-cp311-manylinux_2_31_x86_64. Уязвимость возникает из-за функции приложения 'binding_zoo', которая позволяет злоумышленникам загружать и взаимодействовать с вредоносным файлом модели, размещенным на hugging-face, что приводит к удаленному выполнению кода. Проблема связана с известной уязвимостью в llama-cpp-python, CVE-2024-34359, которая не была исправлена в lollms-webui по состоянию на коммит b454f40a. Уязвимость может быть использована через обработку приложением файлов моделей в функции 'bindings_zoo', в частности, при обработке файлов моделей формата gguf.
CVE-2024-3435В конечной точке 'save_settings' приложения parisneo/lollms-webui существует уязвимость обхода пути, затрагивающая версии до последнего релиза перед 9.5. Уязвимость возникает из-за недостаточной очистки параметра 'config' в функции 'apply_settings', что позволяет злоумышленнику манипулировать конфигурацией приложения, отправляя специально разработанные полезные нагрузки JSON. Это может привести к удаленному выполнению кода (RCE) путем обхода существующих патчей, предназначенных для смягчения подобных уязвимостей.
CVE-2024-3126Уязвимость внедрения команд существует в функции 'run_xtts_api_server' приложения parisneo/lollms-webui, в частности, в скрипте 'lollms_xtts.py'. Уязвимость возникает из-за неправильной нейтрализации специальных элементов, используемых в команде ОС. Затронутая функция использует 'subprocess.Popen' для выполнения команды, построенной с помощью f-строки Python, без надлежащей очистки ввода 'xtts_base_url'. Этот недостаток позволяет злоумышленникам удаленно выполнять произвольные команды, манипулируя параметром 'xtts_base_url'. Уязвимость затрагивает версии до последней версии перед 9.5 включительно. Успешная эксплуатация может привести к произвольному удаленному выполнению кода (RCE) в системе, где развернуто приложение.