A path traversal vulnerability exists in the 'cyber_security/codeguard' native personality of the parisneo/lollms-webui, affecting versions up to 9.5. The vulnerability arises from the improper limitation of a pathname to a restricted directory in the 'process_folder' function within 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. Specifically, the function fails to properly sanitize user-supplied input for the 'code_folder_path', allowing an attacker to specify arbitrary paths using '../' or absolute paths. This flaw leads to arbitrary file read and overwrite capabilities in specified directories without limitations, posing a significant risk of sensitive information disclosure and unauthorized file manipulation.
Existe una vulnerabilidad de path traversal en la personalidad nativa 'cyber_security/codeguard' de parisneo/lollms-webui, que afecta a las versiones hasta la 9.5. La vulnerabilidad surge de la limitación inadecuada de un nombre de ruta a un directorio restringido en la función 'process_folder' dentro de 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. Específicamente, la función no sanitiza adecuadamente la entrada proporcionada por el usuario para 'code_folder_path', lo que permite a un atacante especificar rutas arbitrarias usando '../' o rutas absolutas. Esta falla genera capacidades arbitrarias de lectura y sobrescritura de archivos en directorios específicos sin limitaciones, lo que plantea un riesgo significativo de divulgación de información confidencial y manipulación no autorizada de archivos.