Vulnerabilidad en parisneo/lollms-webui (CVE-2024-5482)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
06/06/2024
Última modificación:
09/10/2024
Descripción
Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en el endpoint 'add_webpage' de la aplicación parisneo/lollms-webui, que afecta a la última versión. La vulnerabilidad surge porque la aplicación no valida adecuadamente las URL ingresadas por los usuarios, permitiéndoles ingresar URL arbitrarias, incluidas aquellas que apuntan a recursos internos como 'localhost' o '127.0.0.1'. Esta falla permite a los atacantes realizar solicitudes no autorizadas a sistemas internos o externos, lo que potencialmente conduce al acceso a datos confidenciales, interrupción del servicio, compromiso de la integridad de la red, manipulación de la lógica empresarial y abuso de recursos de terceros. El problema es crítico y requiere atención inmediata para mantener la seguridad e integridad de la aplicación.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:lollms:lollms_web_ui:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página