CVE-2024-8898

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms-webui versão V12 (Strawberry)

Descrição Existe uma vulnerabilidade de path traversal nos endpoints da API de instalação e desinstalação. Isso permite que atacantes criem ou excluam diretórios com caminhos arbitrários no sistema. O problema surge devido à sanitização insuficiente da entrada fornecida pelo usuário, que pode ser explorada para navegar em diretórios fora do caminho pretendido. Os endpoints da API install e uninstall são especificamente afetados.

Recomendações Para o parisneo/lollms-webui versão V12 (Strawberry), considere desativar os endpoints da API install e uninstall até que um patch esteja disponível para prevenir a exploração da vulnerabilidade de path traversal. Restrinja o acesso a esses endpoints para minimizar o risco de criação ou exclusão de diretórios com caminhos arbitrários.