CVE-2024-9919

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms-webui versão V13

Descrição Uma verificação de autenticação ausente no endpoint de desinstalação permite que atacantes realizem exclusões de diretórios não autorizadas. O endpoint da API "/uninstall/{app name}" não chama a função check access() para verificar o client id, permitindo que atacantes excluam diretórios sem a autenticação adequada.

Recomendações Para o parisneo/lollms-webui versão V13, como solução temporária, considere desabilitar o endpoint da API /uninstall/{app name} até que um patch esteja disponível. Restrinja o acesso à funcionalidade de desinstalação para minimizar o risco de exploração. Evite usar o parâmetro app name no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.