Существует уязвимость удаленного выполнения кода (RCE) в конечной точке ‘/install_extension’ приложения parisneo/lollms-webui, в частности, в обработчике маршрута @router.post("/install_extension"). Уязвимость возникает из-за неправильной обработки параметра name в методе ExtensionBuilder().build_extension(), что допускает включение локальных файлов (LFI), приводящее к произвольному выполнению кода. Злоумышленник может использовать эту уязвимость, создав вредоносный параметр name, который заставляет сервер загружать и выполнять файл __init__.py из произвольного места, например, из каталога загрузки для обсуждений. Эта уязвимость затрагивает последнюю версию parisneo/lollms-webui и может привести к удаленному выполнению кода без необходимости взаимодействия с пользователем, особенно когда приложение предоставляется во внешнюю конечную точку или работает в безголовом режиме.