Уязвимость в parisneo/lollms, вплоть до версии 2.2.0 включительно, позволяет неаутентифицированным пользователям загружать и обрабатывать файлы через конечную точку `/api/files/extract-text`. Эта конечная точка не обеспечивает аутентификацию, в отличие от других конечных точек, связанных с файлами, и не имеет зависимости `Depends(get_current_active_user)`. Эта проблема может привести к отказу в обслуживании (DoS) из-за исчерпания ресурсов, раскрытия информации и нарушения документированных политик безопасности приложения.
Показать оригинальное описание (EN)
A vulnerability in parisneo/lollms, up to and including version 2.2.0, allows unauthenticated users to upload and process files through the `/api/files/extract-text` endpoint. This endpoint does not enforce authentication, unlike other file-related endpoints, and lacks the `Depends(get_current_active_user)` dependency. This issue can lead to denial of service (DoS) through resource exhaustion, information disclosure, and violation of the application's documented security policies.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lollms Lollms
cpe:2.3:a:lollms:lollms:*:*:*:*:*:*:*:*
|
— |
<= 2.1.0
|