CVE-2024-2178

parisneo/lollms-webui (versões afetadas não especificadas)

Existe uma vulnerabilidade de traversal de caminho, especificamente no endpoint “copy to custom personas” do arquivo “lollms personalities infos.py”. Essa vulnerabilidade permite que invasores leiam arquivos arbitrários manipulando os parâmetros category e name durante o processo “Copiar para a pasta de personas personalizadas para edição”. Ao inserir sequências ‘../’ nesses parâmetros, os invasores podem percorrer a estrutura de diretórios e acessar arquivos fora do diretório pretendido. A exploração bem-sucedida resulta em acesso não autorizado a informações confidenciais.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.