CVE-2024-5824

Nome do software vulnerável e versões afetadas:

parisneo/lollms versão 9.4.0

Descrição:

Uma vulnerabilidade de traversal de caminho no endpoint “/set personality config” permite que um invasor sobrescreva o arquivo configs/config.yaml, o que pode levar à execução remota de código ao modificar propriedades de configuração do servidor, como force accept remote access e turn on code validation.

Recomendações:

Para a versão 9.4.0 do parisneo/lollms, como solução temporária, considere desativar o endpoint “/set personality config” até que um patch esteja disponível. Restrinja o acesso ao arquivo configs/config.yaml para minimizar o risco de exploração. Evite usar as propriedades force accept remote access e turn on code validation na configuração do servidor até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.