Katalog CVE

CVE-2026-0558

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w parisneo/lollms, do wersji 2.2.0, pozwala nieautoryzowanym użytkownikom na przesyłanie i przetwarzanie plików przez punkt końcowy `/api/files/extract-text`. Punkt ten nie wymusza uwierzytelnienia, co może prowadzić do różnych zagrożeń.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość wystąpienia ataku typu denial of service (DoS) poprzez wyczerpanie zasobów, ujawnienie informacji oraz naruszenie dokumentowanych polityk bezpieczeństwa aplikacji.

Rekomendacja

Zaleca się wprowadzenie mechanizmów uwierzytelniania dla punktu końcowego `/api/files/extract-text` oraz przegląd i aktualizację polityk bezpieczeństwa aplikacji.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS