CVE-2024-8982

Nome do Software Vulnerável e Versões Afetadas OpenLLM versão 0.6.10

Descrição Uma falha de Inclusão de Arquivo Local (LFI) no OpenLLM permite que atacantes incluam arquivos do servidor local através da aplicação web, potencialmente expondo arquivos internos do servidor e informações sensíveis, como arquivos de configuração, senhas e dados críticos. O acesso não autorizado a arquivos críticos do servidor, incluindo arquivos de configuração, credenciais de usuário (/etc/passwd) e chaves privadas, pode comprometer a segurança do sistema. Atacantes poderiam aproveitar as informações expostas para penetrar ainda mais na rede, exfiltrar dados ou escalar privilégios dentro do ambiente.

Recomendações Para a versão 0.6.10 do OpenLLM, considere desativar a funcionalidade de inclusão de arquivos da aplicação web até que um patch esteja disponível para impedir que atacantes incluam arquivos do servidor local. Restrinja o acesso a arquivos e diretórios sensíveis, como arquivos de configuração, credenciais de usuário e chaves privadas, para minimizar o risco de exploração. Evite usar informações sensíveis na aplicação web até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.