CVE-2024-4498

parisneo/lollms-webui, versões da v9.7 até a mais recente

Existe uma vulnerabilidade de traversal de caminho e inclusão remota de arquivos (RFI) devido à validação insuficiente de entradas na função /apply settings, permitindo que um invasor manipule o parâmetro discussion db name para percorrer o sistema de arquivos e incluir arquivos arbitrários. Essa vulnerabilidade é agravada pela contornamento da filtragem de entrada nos endpoints install binding, reinstall binding e unInstall binding, apesar da presença do filtro sanitize path from endpoint(data.name). A exploração bem-sucedida permite que um invasor envie e execute código malicioso no sistema da vítima, levando à execução remota de código (RCE).

Como solução temporária, considere desativar a função /apply settings e restringir o acesso aos pontos de extremidade install binding, reinstall binding e unInstall binding até que um patch esteja disponível. Evite usar o parâmetro discussion db name nos pontos de extremidade da API afetados até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.