CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-2356

Critical
Published: Translated: NVD NIST

Summary

W aplikacji parisneo/lollms-webui występuje podatność typu Local File Inclusion (LFI) w punkcie końcowym '/reinstall_extension', związana z parametrem `name`. Umożliwia ona atakującym wstrzykiwanie złośliwego parametru `name`, co prowadzi do ładowania i wykonywania dowolnych plików Pythona z katalogu przesyłania.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu (RCE), co stwarza poważne zagrożenie dla bezpieczeństwa organizacji, zwłaszcza gdy aplikacja jest dostępna z zewnątrz.

Recommendation

Zaleca się natychmiastowe zaktualizowanie aplikacji parisneo/lollms-webui do najnowszej wersji oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do punktu końcowego '/reinstall_extension'.

Original NVD description (English source)

A Local File Inclusion (LFI) vulnerability exists in the '/reinstall_extension' endpoint of the parisneo/lollms-webui application, specifically within the `name` parameter of the `@router.post("/reinstall_extension")` route. This vulnerability allows attackers to inject a malicious `name` parameter, leading to the server loading and executing arbitrary Python files from the upload directory for discussions. This issue arises due to the concatenation of `data.name` directly with `lollmsElfServer.lollms_paths.extensions_zoo_path` and its use as an argument for `ExtensionBuilder().build_extension()`. The server's handling of the `__init__.py` file in arbitrary locations, facilitated by `importlib.machinery.SourceFileLoader`, enables the execution of arbitrary code, such as command execution or creating a reverse-shell connection. This vulnerability affects the latest version of parisneo/lollms-webui and can lead to Remote Code Execution (RCE) when the application is exposed to an external

Vulnerability data from NVD (NIST) · CISA KEV · EPSS