CVE-2025-1451

Nome do Software Vulnerável e Versões Afetadas parisneo/lollms-webui versão v13

Descrição Uma vulnerabilidade surge do tratamento pelo servidor dos delimitadores multipart em uploads de arquivos. O servidor não limita ou valida o comprimento do delimitador ou os caracteres anexados a ele, permitindo que um atacante forje solicitações com delimitadores excessivamente longos, levando ao esgotamento de recursos e eventual negação de serviço (DoS). Apesar de uma tentativa de correção no commit 483431bb, que bloqueou a anexação de caracteres de hífen ao delimitador multipart, a correção é insuficiente. O servidor permanece vulnerável se outros caracteres (por exemplo, '4','a') forem usados em vez de hífens. Isso permite que atacantes explorem a vulnerabilidade usando caracteres diferentes, causando esgotamento de recursos e indisponibilidade do serviço.

Recomendações Como solução temporária, considere restringir o comprimento dos delimitadores multipart em uploads de arquivos para prevenir o esgotamento de recursos. Restrinja o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração até que uma correção adequada esteja disponível. Evite usar caracteres que possam ser usados para contornar a correção tentativa (por exemplo, '4','a') no delimitador multipart. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.