A path traversal vulnerability exists in the parisneo/lollms-webui application, specifically within the `/list_personalities` endpoint. By manipulating the `category` parameter, an attacker can traverse the directory structure and list any directory on the system. This issue affects the latest version of the application. The vulnerability is due to improper handling of user-supplied input in the `list_personalities` function, where the `category` parameter can be controlled to specify arbitrary directories for listing. Successful exploitation of this vulnerability could allow an attacker to list all folders in the drive on the system, potentially leading to information disclosure.
Existe una vulnerabilidad de path traversal en la aplicación parisneo/lollms-webui, específicamente dentro del endpoint `/list_personalities`. Al manipular el parámetro "categoría", un atacante puede atravesar la estructura del directorio y enumerar cualquier directorio del sistema. Este problema afecta a la última versión de la aplicación. La vulnerabilidad se debe al manejo inadecuado de la entrada proporcionada por el usuario en la función `list_personalities`, donde el parámetro `category` se puede controlar para especificar directorios arbitrarios para listar. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante enumerar todas las carpetas en la unidad del sistema, lo que podría conducir a la divulgación de información.
