CVE-2024-4328

parisneo/lollms-webui versão 9.6

Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) na função clear personality files list. A vulnerabilidade decorre do uso de uma solicitação GET para limpar a lista de arquivos de personalidade, que carece de proteção CSRF adequada. Essa falha permite que invasores induzam usuários a realizar ações sem seu consentimento, como excluir arquivos importantes no sistema. O problema está presente no tratamento de solicitações pelo aplicativo, tornando-o suscetível a ataques CSRF que podem levar à execução de ações não autorizadas em nome do usuário.

Para a versão 9.6 do parisneo/lollms-webui, considere desativar a função clear personality files list até que um patch esteja disponível para impedir ações não autorizadas. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar a solicitação GET para limpar a lista de arquivos de personalidade até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.