CVE-2024-12766

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms-webui versão V13 (feather)

Descrição O problema é uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) na API REST "POST /api/proxy". Atacantes podem explorar isso para acessar recursos web não autorizados especificando o parâmetro JSON {"url":"http://steal.target"}. Mecanismos de segurança existentes, como forbid remote access(lollmsElfServer), lollmsElfServer.config.headless server mode e check access(lollmsElfServer, request.client id), não protegem contra esta vulnerabilidade.

Recomendações Como medida temporária, considere desativar o endpoint da API POST /api/proxy até que uma correção esteja disponível. Restrinja o acesso ao lollmsElfServer para minimizar o risco de exploração. Evite usar o parâmetro url no endpoint da API afetado até que o problema seja resolvido.