PT-2024-30896 · Unknown · Parisneo/Lollms-Webui
Publicado
2024-06-10
·
Atualizado
2024-06-10
·
CVE-2024-4403
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
parisneo/lollms-webui versão 9.6
Descrição
Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) na função
restart program, permitindo que invasores induzam usuários a realizar ações indesejadas, como reiniciar o programa sem seu conhecimento, enviando formulários CSRF especialmente criados. Isso afeta o processo de instalação, incluindo a instalação do Binding zoo e do Models zoo, ao reiniciar programas inesperadamente. A vulnerabilidade se deve à falta de proteção contra CSRF na função afetada.Recomendações
Para a versão 9.6 do parisneo/lollms-webui, considere desativar a função
restart program até que um patch esteja disponível para evitar ações indesejadas. Restrinja o acesso ao processo de instalação, incluindo as instalações do Binding zoo e do Models zoo, para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Parisneo/Lollms-Webui