CVE-2026-0558
CriticalSummary
Podatność w parisneo/lollms, do wersji 2.2.0, pozwala nieautoryzowanym użytkownikom na przesyłanie i przetwarzanie plików przez punkt końcowy `/api/files/extract-text`. Punkt ten nie wymusza uwierzytelnienia, co może prowadzić do różnych zagrożeń.
Risk Assessment
Ryzyko dla organizacji obejmuje możliwość wystąpienia ataku typu denial of service (DoS) poprzez wyczerpanie zasobów, ujawnienie informacji oraz naruszenie dokumentowanych polityk bezpieczeństwa aplikacji.
Recommendation
Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/files/extract-text` oraz przegląd i aktualizację polityk bezpieczeństwa aplikacji.
Original NVD description (English source)
A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.

