CVE-2025-1451

CVE-2025-1451

Título es
CVE-2025-1451

Jue, 20/03/2025 – 10:15

Tipo
CWE-400

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-1451

Descripción es
Una vulnerabilidad en parisneo/lollms-webui v13 surge de la gestión de los límites multiparte por parte del servidor al subir archivos. El servidor no limita ni valida la longitud del límite ni los caracteres añadidos, lo que permite a un atacante manipular solicitudes con límites excesivamente largos, lo que provoca el agotamiento de recursos y, finalmente, una denegación de servicio (DoS). A pesar de un parche en el commit 483431bb, que impedía añadir guiones al límite multiparte, la solución es insuficiente. El servidor sigue siendo vulnerable si se utilizan otros caracteres (p. ej., '4', 'a') en lugar de guiones. Esto permite a los atacantes explotar la vulnerabilidad utilizando caracteres diferentes, lo que provoca el agotamiento de recursos y la indisponibilidad del servicio.

Descripción en
A vulnerability in parisneo/lollms-webui v13 arises from the server's handling of multipart boundaries in file uploads. The server does not limit or validate the length of the boundary or the characters appended to it, allowing an attacker to craft requests with excessively long boundaries, leading to resource exhaustion and eventual denial of service (DoS). Despite an attempted patch in commit 483431bb, which blocked hyphen characters from being appended to the multipart boundary, the fix is insufficient. The server remains vulnerable if other characters (e.g., '4', 'a') are used instead of hyphens. This allows attackers to exploit the vulnerability using different characters, causing resource exhaustion and service unavailability.

20/03/2025
20/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)
7.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Referencias

  • https://huntr.com/bounties/63f5aea4-953b-4b38-9f10-3afe425be1d4

    • Enviar en el boletín
    Off

    Jose Alexis Correa Valencia

    Consultor de sistemas informáticos avanzados con más de 25 años de experiencia en el sector privado. Su carrera se ha enfocado en el análisis y diseño de sistemas, la instalación y configuración de hardware y software, así como en la administración de redes para diversas empresas. Además, ha tenido el privilegio de ser capacitador en temáticas avanzadas, especializándose en el manejo de datos en línea, la seguridad de transacciones y los multimedios.

    Ver todas las entradas