Vulnerabilidad en parisneo/lollms-webui (CVE-2024-6394)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/09/2024
Última modificación:
30/09/2024
Descripción
Existe una vulnerabilidad de inclusión de archivos locales en las versiones de parisneo/lollms-webui anteriores a la v9.8. La vulnerabilidad se debe a una concatenación de rutas no verificada en la función `serve_js` en `app.py`, que permite a los atacantes realizar ataques de path traversal. Esto puede provocar un acceso no autorizado a archivos arbitrarios en el servidor, lo que podría exponer información confidencial, como claves SSH privadas, archivos de configuración y código fuente.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA