漏洞标题
parisneo/lollms-webui CSRF文件上传漏洞
漏洞描述信息
在Lollms应用的个人头像上传功能中存在跨站请求伪造(CSRF)漏洞,具体是parisneo/lollms-webui仓库中的版本,影响到了7.3.0及之前的所有版本。此漏洞允许攻击者在未经受害者同意的情况下改变其个人头像,可能导致服务中断,通过向文件系统中过载文件。此外,此缺陷还可以被用于执行存储型跨站脚本(XSS)攻击,允许攻击者在受害者的浏览器会话中执行任意的JavaScript代码。此问题在版本9.3中得到了解决。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:H
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
CSRF File Upload Vulnerability in parisneo/lollms-webui
漏洞描述信息
A Cross-Site Request Forgery (CSRF) vulnerability exists in the profile picture upload functionality of the Lollms application, specifically in the parisneo/lollms-webui repository, affecting versions up to 7.3.0. This vulnerability allows attackers to change a victim's profile picture without their consent, potentially leading to a denial of service by overloading the filesystem with files. Additionally, this flaw can be exploited to perform a stored cross-site scripting (XSS) attack, enabling attackers to execute arbitrary JavaScript in the context of the victim's browser session. The issue is resolved in version 9.3.
CVSS信息
N/A
漏洞类别
跨站请求伪造(CSRF)
漏洞标题
LoLLMs 跨站请求伪造漏洞
漏洞描述信息
LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。 LoLLMs 7.3.0及之前版本存在跨站请求伪造漏洞,该漏洞源于攻击者可更改个人资料图片及执行存储型跨站脚本(XSS)攻击,从而导致拒绝服务及在浏览器会话上下文执行任意JavaScript。
CVSS信息
N/A
漏洞类别
跨站请求伪造