Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-01323

Опубликовано: 26 окт. 2024
Источник: fstec
CVSS3: 8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции check_access() системы для запуска и управления большими языковыми моделями LoLLMS (Lord of Large Language Multimodal Systems) связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

LoLLMs

Версия ПО

- (LoLLMs)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF) для фильтрации пользовательского ввода;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 7%
0.00026
Низкий

8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-11302

CVSS3: 8
nvd
11 месяцев назад

A missing check_access() function in the lollms_binding_infos module of the parisneo/lollms repository, version V14, allows attackers to add, modify, and remove bindings arbitrarily. This vulnerability affects the /install_binding and /reinstall_binding endpoints, among others, enabling unauthorized access and manipulation of binding settings without requiring the client_id value.

github логотип

GHSA-3j5r-3852-j63v

CVSS3: 8
github
11 месяцев назад

A missing check_access() function in the lollms_binding_infos module of the parisneo/lollms repository, version V14, allows attackers to add, modify, and remove bindings arbitrarily. This vulnerability affects the /install_binding and /reinstall_binding endpoints, among others, enabling unauthorized access and manipulation of binding settings without requiring the client_id value.

EPSS

Процентиль: 7%
0.00026
Низкий

8 High

CVSS3

6.8 Medium

CVSS2