一、 漏洞 CVE-2024-1600 基础信息
漏洞标题
巴黎新族/lollms-webui的本地文件包含漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在parisneo/lollms-webui应用中存在一个本地文件包含(LFI)漏洞,具体位于`/personalities`路由中。攻击者可以通过构造一个URL来利用这个漏洞,URL中包含目录遍历序列(`../../`)后跟URL编码的所需的系统文件路径。成功的利用允许攻击者读取web服务器可以访问的文件系统中的任何文件。这个问题是由于应用程序中对include/require语句的文件名控制不当导致的。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Local File Inclusion in parisneo/lollms-webui
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Local File Inclusion (LFI) vulnerability exists in the parisneo/lollms-webui application, specifically within the `/personalities` route. An attacker can exploit this vulnerability by crafting a URL that includes directory traversal sequences (`../../`) followed by the desired system file path, URL encoded. Successful exploitation allows the attacker to read any file on the filesystem accessible by the web server. This issue arises due to improper control of filename for include/require statement in the application.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
来源:美国国家漏洞数据库 NVD
漏洞标题
lollms-webui 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。 lollms-webui存在安全漏洞。攻击者利用该漏洞可以读取 Web 服务器可访问的文件系统上的任何文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1600 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1600 的情报信息