nvd
Lollms
Уязвимости
67
Эксплуатируемые
0
Критический
25
Высокий
25
Топ уязвимостей
CVE-2026-1114В парисонной версии 2.1.0 управление сеансами приложения уязвимо для неправильного контроля доступа из-за использования слабого секретного ключа для подписи JSON Web Tokens (JWT). Эта уязвимость позволяет злоумышленнику выполнить офлайн-атаку грубой силы, чтобы восстановить секретный ключ. Как только секретный ключ получен, злоумышленник может подделывать административные токены, изменяя полезную нагрузку JWT и увольняя ее с взломанным секретом. Это позволяет неавторизованным пользователям создавать привилегии, выдавать себя за администратора и получать доступ к ограниченным конечным точкам. Вопрос решен в версии 2.2.0.
CVE-2026-0558Отказ в обслуживании в LoLLMs
CVE-2024-8898Уязвимость обхода пути существует в API-эндпоинтах `install` и `uninstall` версии parisneo/lollms-webui V12 (Strawberry). Эта уязвимость позволяет злоумышленникам создавать или удалять каталоги с произвольными путями в системе. Проблема возникает из-за недостаточной санитарной обработки входных данных, предоставленных пользователем, что может быть использовано для обхода каталогов вне предполагаемого пути.
CVE-2024-5482Уязвимость Server-Side Request Forgery (SSRF) существует в конечной точке 'add_webpage' приложения parisneo/lollms-webui, затрагивающей последнюю версию. Уязвимость возникает из-за того, что приложение неадекватно проверяет URL-адреса, введенные пользователями, позволяя им вводить произвольные URL-адреса, в том числе те, которые нацелены на внутренние ресурсы, такие как 'localhost' или '127.0.0.1'. Этот недостаток позволяет злоумышленникам выполнять несанкционированные запросы к внутренним или внешним системам, что потенциально может привести к доступу к конфиденциальным данным, нарушению обслуживания, компрометации целостности сети, манипулированию бизнес-логикой и злоупотреблению ресурсами третьих лиц. Проблема является критической и требует немедленного внимания для поддержания безопасности и целостности приложения.
CVE-2024-4326Уязвимость в parisneo/lollms-webui версий до 9.3 позволяет удаленным злоумышленникам выполнять произвольный код. Уязвимость связана с недостаточной защитой конечных точек `/apply_settings` и `/execute_code`. Злоумышленники могут обойти защиту, установив хост на localhost, включив выполнение кода и отключив проверку кода через конечную точку `/apply_settings`. Впоследствии произвольные команды могут выполняться удаленно через конечную точку `/execute_code`, используя задержку в применении настроек. Эта проблема была решена в версии 9.5.
CVE-2024-4320Существует уязвимость удаленного выполнения кода (RCE) в конечной точке '/install_extension' приложения parisneo/lollms-webui, в частности, в обработчике маршрута `@router.post("/install_extension")`. Уязвимость возникает из-за неправильной обработки параметра `name` в методе `ExtensionBuilder().build_extension()`, что допускает включение локальных файлов (LFI), приводящее к произвольному выполнению кода. Злоумышленник может использовать эту уязвимость, создав вредоносный параметр `name`, который заставляет сервер загружать и выполнять файл `__init__.py` из произвольного места, например, из каталога загрузки для обсуждений. Эта уязвимость затрагивает последнюю версию parisneo/lollms-webui и может привести к удаленному выполнению кода без необходимости взаимодействия с пользователем, особенно когда приложение предоставляется во внешнюю конечную точку или работает в безголовом режиме.
CVE-2024-4267В parisneo/lollms-webui, а именно в модуле 'open_file', версии 9.5, существует уязвимость удаленного выполнения кода (RCE). Уязвимость возникает из-за неправильной нейтрализации специальных элементов, используемых в команде в функции 'open_file'. Злоумышленник может использовать эту уязвимость, создав вредоносный путь к файлу, который при обработке функцией 'open_file' выполняет произвольные системные команды или считывает конфиденциальное содержимое файла. Эта проблема присутствует в коде, где subprocess.Popen используется небезопасно для открытия файлов на основе предоставленных пользователем путей без надлежащей проверки, что приводит к потенциальному внедрению команд.
CVE-2024-3429В приложении parisneo/lollms существует уязвимость обхода пути, в частности, в функциях `sanitize_path_from_endpoint` и `sanitize_path` в `lollms_core\lollms\security.py`. Эта уязвимость позволяет читать произвольные файлы, когда приложение работает в Windows. Проблема возникает из-за недостаточной очистки предоставленных пользователем входных данных, что позволяет злоумышленникам обходить механизмы защиты от обхода пути, создавая вредоносные входные данные. Успешная эксплуатация может привести к несанкционированному доступу к конфиденциальным файлам, раскрытию информации и потенциально к отказу в обслуживании (DoS) путем включения многочисленных больших или ресурсоемких файлов. Эта уязвимость затрагивает последнюю версию до 9.6.
CVE-2024-3322В 'cyber_security/codeguard' native personality parisneo/lollms-webui существует уязвимость обхода пути, затрагивающая версии до 9.5. Уязвимость возникает из-за неправильного ограничения имени пути к ограниченному каталогу в функции 'process_folder' в 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. В частности, функция не может должным образом очистить предоставленные пользователем входные данные для 'code_folder_path', позволяя злоумышленнику указывать произвольные пути, используя '../' или абсолютные пути. Этот недостаток приводит к произвольному чтению файлов и возможностям перезаписи в указанных каталогах без ограничений, что создает значительный риск раскрытия конфиденциальной информации и несанкционированного манипулирования файлами.
CVE-2024-2624Уязвимость обхода пути и произвольной загрузки файлов существует в приложении parisneo/lollms-webui, особенно в конечной точке `@router.get("/switch_personal_path")` в `./lollms-webui/lollms_core/lollms/server/endpoints/lollms_user.py`. Уязвимость возникает из-за недостаточной очистки пользовательского ввода для параметра `path`, что позволяет злоумышленнику указывать произвольные пути в файловой системе. Этот недостаток позволяет напрямую загружать произвольные файлы, утечку `personal_data` и перезаписывать конфигурации в `lollms-webui`->`configs`, используя тот же именованный каталог в `personal_data`. Проблема затрагивает последнюю версию приложения и исправлена в версии 9.4. Успешная эксплуатация может привести к раскрытию конфиденциальной информации, несанкционированной загрузке файлов и потенциально удаленному выполнению кода путем перезаписи критических файлов конфигурации.
CVE-2024-2360parisneo/lollms-webui уязвим для атак обхода пути, которые могут привести к удаленному выполнению кода из-за недостаточной очистки входных данных, предоставляемых пользователем, в настройках 'Путь к базе данных' и 'Путь к PDF LaTeX'. Злоумышленник может использовать эту уязвимость, манипулируя этими настройками для выполнения произвольного кода на целевом сервере. Проблема затрагивает последнюю версию программного обеспечения. Уязвимость возникает из-за обработки приложением параметров 'discussion_db_name' и 'pdf_latex_path', которые не проверяют должным образом пути к файлам, что позволяет обходить каталоги. Эта уязвимость также может привести к дальнейшему раскрытию файлов и другим векторам атак путем манипулирования параметром 'discussion_db_name'.
CVE-2024-2359Уязвимость в parisneo/lollms-webui версии 9.3 позволяет злоумышленникам обходить предполагаемые ограничения доступа и выполнять произвольный код. Проблема возникает из-за обработки приложением эндпоинта `/execute_code`, который по умолчанию должен быть заблокирован для внешнего доступа. Однако злоумышленники могут использовать эндпоинт `/update_setting`, которому не хватает надлежащего контроля доступа, для изменения конфигурации `host` во время выполнения. Изменив настройку `host` на контролируемое злоумышленником значение, можно обойти ограничение на эндпоинт `/execute_code`, что приведет к удаленному выполнению кода. Эта уязвимость связана с неправильной нейтрализацией специальных элементов, используемых в команде ОС («Неправильная нейтрализация специальных элементов, используемых в команде ОС»).
CVE-2024-2358Уязвимость обхода пути в эндпоинте '/apply_settings' parisneo/lollms-webui позволяет злоумышленникам выполнять произвольный код. Уязвимость возникает из-за недостаточной очистки входных данных, предоставляемых пользователем, в настройках конфигурации, особенно в параметре 'extensions'. Злоумышленники могут использовать это, создав полезную нагрузку, которая включает последовательности обхода относительного пути ('../../../'), позволяющие им переходить к произвольным каталогам. Этот недостаток впоследствии позволяет серверу загружать и выполнять вредоносный файл '__init__.py', что приводит к удаленному выполнению кода. Проблема затрагивает последнюю версию parisneo/lollms-webui.
CVE-2024-1601В функции `delete_discussion()` приложения parisneo/lollms-webui существует уязвимость SQL-инъекции, позволяющая злоумышленнику удалять все обсуждения и данные сообщений. Уязвимость может быть использована посредством специально созданного HTTP POST-запроса к конечной точке `/delete_discussion`, которая внутренне вызывает уязвимую функцию `delete_discussion()`. Отправляя специально созданную полезную нагрузку в параметре 'id', злоумышленник может манипулировать SQL-запросами для удаления всех записей из таблиц 'discussion' и 'message'. Эта проблема связана с неправильной нейтрализацией специальных элементов, используемых в команде SQL.
CVE-2024-1520В конечной точке '/open_code_folder' приложения parisneo/lollms-webui существует уязвимость внедрения команд ОС из-за неправильной проверки предоставленных пользователем данных в параметре 'discussion_id'. Злоумышленники могут использовать эту уязвимость, внедрив вредоносные команды ОС, что приведет к несанкционированному выполнению команд в базовой операционной системе. Это может привести к несанкционированному доступу, утечке данных или полному компрометации системы.
CVE-2024-1511Репозиторий parisneo/lollms-webui подвержен уязвимости обхода пути из-за неадекватной проверки предоставленных пользователем путей к файлам. Этот недостаток позволяет неаутентифицированному злоумышленнику читать, записывать, а в некоторых конфигурациях выполнять произвольные файлы на сервере, используя различные конечные точки. Уязвимость можно использовать, даже если служба привязана к localhost, с помощью межсайтовых запросов, облегченных вредоносными HTML/JS-страницами.
CVE-2026-1115Уязвимость хранимого межсайтового скринирования (XSS) была идентифицирована в социальной функции parisneo/lollms, затрагивающей последнюю версию до 2.2.0. Уязвимость существует в функции `create_post` в `backend/routers/social/__init__.py`, где пользовательский контент непосредственно назначается модели `DBPost` без дезинфекции. Это позволяет злоумышленникам вводить и хранить вредоносный JavaScript, который выполняется в браузерах пользователей, просматривающих Домашнюю ленту, включая администраторов. Это может привести к захвату счетов, захвату сеансов и червячным атакам. Вопрос решен в версии 2.2.0.
CVE-2024-2361Уязвимость в parisneo/lollms-webui позволяет произвольно загружать и читать файлы из-за недостаточной очистки входных данных, предоставляемых пользователем. В частности, проблема заключается в функции `install_model()` в `lollms_core/lollms/binding.py`, где приложение не может должным образом очистить протокол `file://` и другие входные данные, что приводит к произвольным возможностям чтения и загрузки. Злоумышленники могут использовать эту уязвимость, манипулируя параметрами `path` и `variant_name` для достижения обхода пути, что позволяет читать произвольные файлы и загружать файлы в произвольные места на сервере. Эта уязвимость затрагивает последнюю версию parisneo/lollms-webui.
CVE-2024-1600Уязвимость Local File Inclusion (LFI) существует в приложении parisneo/lollms-webui, а именно в маршруте `/personalities`. Злоумышленник может использовать эту уязвимость, создав URL-адрес, включающий последовательности обхода каталогов (`../../`), за которыми следует желаемый путь к системному файлу, закодированный в URL. Успешная эксплуатация позволяет злоумышленнику читать любой файл в файловой системе, доступный для веб-сервера. Эта проблема возникает из-за неправильного контроля имени файла для оператора include/require в приложении.
CVE-2026-33340LoLLMs WEBUI предоставляет веб-интерфейс для Lord of Large Language и Multimdal Systems. Критическая уязвимость подделки запросов на серверную сторону (SSRF) была идентифицирована во всех известных существующих версиях "lollms-webui". Конечная точка `@@router.post("/api/proxy")` позволяет неаффентированным злоумышленникам заставлять сервер делать произвольные запросы GET. Это может быть использовано для доступа к внутренним услугам, сканирования локальных сетей или эксфильтрации чувствительных облачных метаданных (например, токенов AWS/GCP IAM). На момент публикации не имеется известных исправленных версий.
CVE-2024-8581Уязвимость в функции `upload_app` parisneo/lollms-webui V12 (Strawberry) позволяет злоумышленнику удалять любые файлы или директории на системе. Функция не реализует фильтрацию пользовательского ввода для значения `filename`, что приводит к ошибке обхода пути.
CVE-2024-2362Уязвимость обхода пути существует в parisneo/lollms-webui версии 9.3 на платформе Windows. Из-за неправильной проверки путей к файлам между средами Windows и Linux злоумышленник может использовать эту уязвимость для удаления любого файла в системе. Проблема возникает из-за отсутствия надлежащей очистки входных данных, предоставляемых пользователем, в эндпоинте 'del_preset', где приложение не может предотвратить использование абсолютных путей или последовательностей обхода каталогов ('..'). В результате злоумышленник может отправить специально созданный запрос в эндпоинт 'del_preset' для удаления файлов за пределами предполагаемого каталога.
CVE-2024-1873lunary-ai/lunary уязвим для обхода пути и атак типа «отказ в обслуживании» из-за открытой конечной точки `/select_database` в версии a9d16b0. Конечная точка неправильно обрабатывает пути к файлам, позволяя злоумышленникам указывать абсолютные пути при взаимодействии с экземпляром `DiscussionsDB`. Этот недостаток позволяет злоумышленникам создавать каталоги в любом месте системы, где у приложения есть разрешения, что потенциально может привести к отказу в обслуживании путем создания каталогов с именами критически важных файлов, таких как файлы сертификатов HTTPS, что приведет к сбоям при запуске сервера. Кроме того, злоумышленники могут манипулировать путем к базе данных, что приведет к потере данных клиента из-за постоянного изменения местоположения файла на местоположение, контролируемое злоумышленником, рассеивая данные по файловой системе и затрудняя восстановление.
CVE-2024-6581Уязвимость в функции загрузки изображений для обсуждений в приложении Lollms, версия v9.9, позволяет загружать SVG-файлы. Из-за неполной фильтрации в функции sanitize_svg это может привести к уязвимостям межсайтового скриптинга (XSS), что, в свою очередь, создает риск удаленного выполнения кода. Функция sanitize_svg удаляет только элементы script и атрибуты событий 'on*', но не учитывает другие потенциальные векторы для XSS внутри SVG-файлов. Эту уязвимость можно использовать, когда авторизованные пользователи получают доступ к вредоносному URL-адресу, содержащему созданный SVG-файл.
CVE-2024-2366В приложении parisneo/lollms-webui существует уязвимость удаленного выполнения кода, в частности, в функциональности reinstall_binding в lollms_core/lollms/server/endpoints/lollms_binding_infos.py последней версии. Уязвимость возникает из-за недостаточной очистки пути, что позволяет злоумышленнику использовать обход пути для перехода к произвольным каталогам. Манипулируя binding_path, чтобы указать на контролируемый каталог, и загружая вредоносный файл __init__.py, злоумышленник может выполнить произвольный код на сервере.