漏洞标题
巴黎neo/lollms-webui中的路径遍历
漏洞描述信息
存在路径遍历漏洞在parisneo/lollms-webui应用中,具体在`/list_personalities`端点。通过操作`category`参数,攻击者能够遍历目录结构并列出系统上的任何目录。此问题影响的是该应用的最新版本。漏洞的产生原因在于`list_personalities`函数处理用户提供的输入时不当,`category`参数可以被控制以指定任意目录用于列出。成功利用此漏洞可能允许攻击者列出系统驱动器上的所有文件夹,可能导致信息泄露。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
Path Traversal in parisneo/lollms-webui
漏洞描述信息
A path traversal vulnerability exists in the parisneo/lollms-webui application, specifically within the `/list_personalities` endpoint. By manipulating the `category` parameter, an attacker can traverse the directory structure and list any directory on the system. This issue affects the latest version of the application. The vulnerability is due to improper handling of user-supplied input in the `list_personalities` function, where the `category` parameter can be controlled to specify arbitrary directories for listing. Successful exploitation of this vulnerability could allow an attacker to list all folders in the drive on the system, potentially leading to information disclosure.
CVSS信息
N/A
漏洞类别
路径遍历:’..filename’
漏洞标题
LoLLMs 安全漏洞
漏洞描述信息
LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。 LoLLMs 存在安全漏洞,该漏洞源于对 list_personalities 函数中用户提供的输入处理不当,允许攻击者遍历目录结构并列出系统上的任何目录。
CVSS信息
N/A
漏洞类别
其他