CVE-2024-4326

Versões do parisneo/lollms-webui até a 9.3

Uma vulnerabilidade permite que invasores remotos executem código arbitrário devido à proteção insuficiente dos endpoints “/apply settings” e “/execute code”. Os invasores podem contornar as proteções definindo o host como localhost, habilitando a execução de código e desabilitando a validação de código por meio do endpoint “/apply settings”. Posteriormente, comandos arbitrários podem ser executados remotamente via o endpoint “/execute code”, explorando o atraso na aplicação das configurações.

Para versões até a 9.3, atualize para a versão 9.5 para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints “/apply settings” e “/execute code” para minimizar o risco de exploração. Além disso, evite definir o host como localhost e certifique-se de que a validação de código esteja habilitada até que o problema seja resolvido.