CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-0558

Critical
Published: Translated: NVD NIST

Summary

Podatność w parisneo/lollms, do wersji 2.2.0, pozwala nieautoryzowanym użytkownikom na przesyłanie i przetwarzanie plików przez punkt końcowy `/api/files/extract-text`. Punkt ten nie wymusza uwierzytelnienia, co może prowadzić do różnych zagrożeń.

Risk Assessment

Ryzyko dla organizacji obejmuje możliwość wystąpienia ataku typu denial of service (DoS) poprzez wyczerpanie zasobów, ujawnienie informacji oraz naruszenie dokumentowanych polityk bezpieczeństwa aplikacji.

Recommendation

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/files/extract-text` oraz przegląd i aktualizację polityk bezpieczeństwa aplikacji.

Original NVD description (English source)

A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS