CVE-2024-6674

A CORS misconfiguration in parisneo/lollms-webui prior to version 10 allows attackers to steal sensitive information such as logs, browser sessions, and settings containing private API keys from other services. This vulnerability can also enable attackers to perform actions on behalf of a user, such as deleting a project or sending a message. The issue impacts the confidentiality and integrity of the information.
Configurations

Configuration 1 (hide)

cpe:2.3:a:lollms:lollms_web_ui:*:*:*:*:*:*:*:*

History

01 Nov 2024, 20:34

Type Values Removed Values Added
References () https://github.com/parisneo/lollms-webui/commit/c1bb1ad19752aa7541675b398495eaf98fd589f1 - () https://github.com/parisneo/lollms-webui/commit/c1bb1ad19752aa7541675b398495eaf98fd589f1 - Patch
References () https://huntr.com/bounties/e688f71b-a3a4-4f6d-b48a-837073fa6908 - () https://huntr.com/bounties/e688f71b-a3a4-4f6d-b48a-837073fa6908 - Exploit, Third Party Advisory
First Time Lollms lollms Web Ui
Lollms
Summary
  • (es) Una configuración incorrecta de CORS en parisneo/lollms-webui anterior a la versión 10 permite a los atacantes robar información confidencial, como registros, sesiones del navegador y configuraciones que contienen claves API privadas de otros servicios. Esta vulnerabilidad también puede permitir a los atacantes realizar acciones en nombre de un usuario, como eliminar un proyecto o enviar un mensaje. El problema afecta la confidencialidad e integridad de la información.
CPE cpe:2.3:a:lollms:lollms_web_ui:*:*:*:*:*:*:*:*
CVSS v2 : unknown
v3 : 8.1
v2 : unknown
v3 : 7.1

29 Oct 2024, 13:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-10-29 13:15

Updated : 2024-11-01 20:34


NVD link : CVE-2024-6674

Mitre link : CVE-2024-6674

CVE.ORG link : CVE-2024-6674


JSON object : View

Products Affected

lollms

  • lollms_web_ui
CWE
CWE-346

Origin Validation Error