CVE-2024-2299

A stored Cross-Site Scripting (XSS) vulnerability exists in the parisneo/lollms-webui application due to improper validation of uploaded files in the profile picture upload functionality. Attackers can exploit this vulnerability by uploading malicious HTML files containing JavaScript code, which is executed when the file is accessed. This vulnerability is remotely exploitable via Cross-Site Request Forgery (CSRF), allowing attackers to perform actions on behalf of authenticated users and potentially leading to unauthorized access to sensitive information within the Lollms-webui application.
Configurations

No configuration.

History

21 Nov 2024, 09:09

Type Values Removed Values Added
References () https://huntr.com/bounties/f1adaac0-b9ed-4093-a0f3-2d0a4ecba398 - () https://huntr.com/bounties/f1adaac0-b9ed-4093-a0f3-2d0a4ecba398 -
Summary
  • (es) Existe una vulnerabilidad de Cross Site Scripting (XSS) almacenado en la aplicación parisneo/lollms-webui debido a una validación incorrecta de los archivos cargados en la funcionalidad de carga de imágenes de perfil. Los atacantes pueden aprovechar esta vulnerabilidad cargando archivos HTML maliciosos que contienen código JavaScript, que se ejecuta cuando se accede al archivo. Esta vulnerabilidad se puede explotar de forma remota mediante Cross-Site Request Forgery (CSRF), lo que permite a los atacantes realizar acciones en nombre de usuarios autenticados y potencialmente conducir a un acceso no autorizado a información confidencial dentro de la aplicación Lollms-webui.

14 May 2024, 15:18

Type Values Removed Values Added
New CVE

Information

Published : 2024-05-14 15:18

Updated : 2024-11-21 09:09


NVD link : CVE-2024-2299

Mitre link : CVE-2024-2299

CVE.ORG link : CVE-2024-2299


JSON object : View

Products Affected

No product.

CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')