A vulnerability in the parisneo/lollms, specifically in the `/unInstall_binding` endpoint, allows for arbitrary code execution due to insufficient sanitization of user input. The issue arises from the lack of path sanitization when handling the `name` parameter in the `unInstall_binding` function, allowing an attacker to traverse directories and execute arbitrary code by loading a malicious `__init__.py` file. This vulnerability affects the latest version of the software. The exploitation of this vulnerability could lead to remote code execution on the system where parisneo/lollms is deployed.
Una vulnerabilidad en parisneo/lollms, específicamente en el endpoint `/unInstall_binding`, permite la ejecución de código arbitrario debido a una sanitización insuficiente de la entrada del usuario. El problema surge de la falta de sanitización de rutas al manejar el parámetro `name` en la función `unInstall_binding`, lo que permite a un atacante atravesar directorios y ejecutar código arbitrario cargando un archivo `__init__.py` malicioso. Esta vulnerabilidad afecta a la última versión del software. La explotación de esta vulnerabilidad podría conducir a la ejecución remota de código en el sistema donde está implementado parisneo/lollms.