CVE

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-5482)

Severidad:

ALTA

Type:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

06/06/2024

Última modificación:

07/06/2024

Descripción

Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en el endpoint &#39;add_webpage&#39; de la aplicación parisneo/lollms-webui, que afecta a la última versión. La vulnerabilidad surge porque la aplicación no valida adecuadamente las URL ingresadas por los usuarios, permitiéndoles ingresar URL arbitrarias, incluidas aquellas que apuntan a recursos internos como &#39;localhost&#39; o &#39;127.0.0.1&#39;. Esta falla permite a los atacantes realizar solicitudes no autorizadas a sistemas internos o externos, lo que potencialmente conduce al acceso a datos confidenciales, interrupción del servicio, compromiso de la integridad de la red, manipulación de la lógica empresarial y abuso de recursos de terceros. El problema es crítico y requiere atención inmediata para mantener la seguridad e integridad de la aplicación.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.40 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.40

Severidad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://huntr.com/bounties/d97e23e7-172f-4862-a732-86bfc0b7860e