CVE-2024-9920

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms-webui versão v12

Descrição O problema origina-se da função 'Send file to AL', que permite o upload de arquivos com diversas extensões, incluindo algumas potencialmente perigosas, como .py, .sh, .bat, entre outras. Atacantes podem explorar essa falha fazendo upload de arquivos com conteúdo malicioso e, em seguida, utilizando o endpoint da API "/open file" para executar esses arquivos. A questão decorre do uso de subprocess.Popen para abrir arquivos sem a devida validação, o que pode levar à execução remota de código.

Recomendações Para a versão v12, considere desativar a função 'Send file to AL' até que uma correção esteja disponível. Como solução temporária, restrinja o acesso ao endpoint da API "/open file" para minimizar o risco de exploração. Evite usar a função subprocess.Popen para abrir arquivos sem a devida validação até que o problema seja resolvido.