Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en parisneo/lollms-webui (CVE-2024-5482)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
06/06/2024
Última modificación:
09/10/2024

Descripción

Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en el endpoint 'add_webpage' de la aplicación parisneo/lollms-webui, que afecta a la última versión. La vulnerabilidad surge porque la aplicación no valida adecuadamente las URL ingresadas por los usuarios, permitiéndoles ingresar URL arbitrarias, incluidas aquellas que apuntan a recursos internos como 'localhost' o '127.0.0.1'. Esta falla permite a los atacantes realizar solicitudes no autorizadas a sistemas internos o externos, lo que potencialmente conduce al acceso a datos confidenciales, interrupción del servicio, compromiso de la integridad de la red, manipulación de la lógica empresarial y abuso de recursos de terceros. El problema es crítico y requiere atención inmediata para mantener la seguridad e integridad de la aplicación.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lollms:lollms_web_ui:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información