CVE-2024-3429

Versões do parisneo/lollms anteriores à 9.6

Existe uma vulnerabilidade de traversal de caminho na aplicação parisneo/lollms, especificamente nas funções sanitize path from endpoint e sanitize path no arquivo lollms corelollmssecurity.py. Essa vulnerabilidade permite a leitura arbitrária de arquivos quando o aplicativo está em execução no Windows. O problema surge devido à sanitização insuficiente das entradas fornecidas pelo usuário, permitindo que invasores contornem os mecanismos de proteção contra traversal de caminho criando entradas maliciosas. A exploração bem-sucedida pode levar ao acesso não autorizado a arquivos confidenciais, à divulgação de informações e, potencialmente, a uma condição de negação de serviço (DoS) ao incluir vários arquivos grandes ou que consomem muitos recursos.

Como solução temporária, considere desativar as funções sanitize path from endpoint e sanitize path em lollms corelollmssecurity.py até que um patch esteja disponível.

Atualize para a versão 9.6 ou posterior para resolver o problema.