漏洞标题
"parisneo/lollms-webui"中的远程代码执行
漏洞描述信息
在parisneo/lollms-webui中存在一个远程代码执行(RCE)漏洞,具体在版本9.5的'open_file'模块中。漏洞的产生原因是未正确消除命令中使用的特殊元素。攻击者可以通过构造恶意文件路径来利用此漏洞,当通过'open_file'函数处理该路径时,可以执行任意系统命令或读取敏感文件内容。此问题出现在使用subprocess.Popen不安全地根据用户提供的路径打开文件的代码中,而没有足够的验证,从而可能导致命令注入。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Remote Code Execution in parisneo/lollms-webui
漏洞描述信息
A remote code execution (RCE) vulnerability exists in the parisneo/lollms-webui, specifically within the 'open_file' module, version 9.5. The vulnerability arises due to improper neutralization of special elements used in a command within the 'open_file' function. An attacker can exploit this vulnerability by crafting a malicious file path that, when processed by the 'open_file' function, executes arbitrary system commands or reads sensitive file content. This issue is present in the code where subprocess.Popen is used unsafely to open files based on user-supplied paths without adequate validation, leading to potential command injection.
CVSS信息
N/A
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
LoLLMs 命令注入漏洞
漏洞描述信息
LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。 LoLLMs 存在命令注入漏洞,该漏洞源于open_file函数对用户上传的命令中使用的特殊元素不当中和。
CVSS信息
N/A
漏洞类别
命令注入