Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en parisneo/lollms (CVE-2024-4499)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
24/06/2024
Última modificación:
13/09/2024

Descripción

Existe una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el servidor XTTS de parisneo/lollms versión 9.6 debido a una política CORS laxa. La vulnerabilidad permite a los atacantes realizar acciones no autorizadas engañando a un usuario para que visite una página web maliciosa, lo que luego puede desencadenar solicitudes arbitrarias de la API LoLLMS-XTTS. Este problema puede provocar la lectura y escritura de archivos de audio y, cuando se combina con otras vulnerabilidades, podría permitir la lectura de archivos arbitrarios en el sistema y la escritura de archivos fuera de la ubicación permitida para archivos de audio.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lollms:lollms:9.6:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información