漏洞标题
parisneo/lollms-webui中的存储型XSS导致RCE(远程代码执行)
漏洞描述信息
ParisNeo/Lollms-WebUI存在一个存储型跨站脚本(XSS)漏洞,该漏洞可能导致远程代码执行(RCE)。此漏洞是由于模型输出数据的净化和验证不足,攻击者可以注入恶意JavaScript代码。这段代码可以在用户的浏览器上下文中执行,使攻击者能够向`/execute_code`端点发送请求,并在攻击者主机上建立反向壳。此问题影响应用的多个组件,包括用户输入和模型输出的处理。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Stored XSS leading to RCE in parisneo/lollms-webui
漏洞描述信息
parisneo/lollms-webui is vulnerable to stored Cross-Site Scripting (XSS) that leads to Remote Code Execution (RCE). The vulnerability arises due to inadequate sanitization and validation of model output data, allowing an attacker to inject malicious JavaScript code. This code can be executed within the user's browser context, enabling the attacker to send a request to the `/execute_code` endpoint and establish a reverse shell to the attacker's host. The issue affects various components of the application, including the handling of user input and model output.
CVSS信息
N/A
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
lollms-webui 安全漏洞
漏洞描述信息
LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。 lollms-webui存在安全漏洞,该漏洞源于对模型输出数据的清理和验证不充分。
CVSS信息
N/A
漏洞类别
其他