Parisneo

**Nome do software vulnerável e versões afetadas** Versões do parisneo/lollms anteriores à 9.6 **Descrição** Existe uma vulnerabilidade de traversal de caminho na aplicação parisneo/lollms, especificamente nas funções `sanitize path from endpoint` e `sanitize path` no arquivo `lollms corelollmssecurity.py`. Essa vulnerabilidade permite a leitura arbitrária de arquivos quando o aplicativo está em execução no Windows. O problema surge devido à sanitização insuficiente das entradas fornecidas pelo usuário, permitindo que invasores contornem os mecanismos de proteção contra traversal de caminho criando entradas maliciosas. A exploração bem-sucedida pode levar ao acesso não autorizado a arquivos confidenciais, à divulgação de informações e, potencialmente, a uma condição de negação de serviço (DoS) ao incluir vários arquivos grandes ou que consomem muitos recursos. **Recomendações** Como solução temporária, considere desativar as funções `sanitize path from endpoint` e `sanitize path` em `lollms corelollmssecurity.py` até que um patch esteja disponível. Atualize para a versão 9.6 ou posterior para resolver o problema.