CRITICAL🇬🇧 English

CVE-2026-1115

Stored XSS w funkcji create_post platformy lollms — przejęcie konta

CVSS 9.6v3.0pub. 2026-04-10upd. 2026-04-16

W platformie parisneo/lollms wykryto podatność typu Stored Cross-Site Scripting (XSS) w module funkcji społecznościowych. Atakujący bez uwierzytelnienia może wstrzyknąć złośliwy kod JavaScript, który jest następnie wykonywany w przeglądarkach innych użytkowników, w tym administratorów.

Pokaż oryginał (EN)

A Stored Cross-Site Scripting (XSS) vulnerability was identified in the social feature of parisneo/lollms, affecting the latest version prior to 2.2.0. The vulnerability exists in the `create_post` function within `backend/routers/social/__init__.py`, where user-provided content is directly assigned to the `DBPost` model without sanitization. This allows attackers to inject and store malicious JavaScript, which is executed in the browsers of users viewing the Home Feed, including administrators. This can lead to account takeover, session hijacking, and wormable attacks. The issue is resolved in version 2.2.0.

🤖 Analiza AI
Jak działa

Podatność znajduje się w funkcji `create_post` w pliku `backend/routers/social/__init__.py`. Treść dostarczana przez użytkownika jest przypisywana bezpośrednio do modelu `DBPost` bez żadnej sanityzacji ani walidacji danych wejściowych. Złośliwy payload JavaScript zostaje trwale zapisany w bazie danych i wykonywany w przeglądarce każdego użytkownika przeglądającego główny feed aplikacji. Ze względu na możliwość automatycznego rozprzestrzeniania się ataku, podatność może mieć charakter robaczy (wormable).

Skutki

Atakujący może doprowadzić do przejęcia kont użytkowników i administratorów (account takeover), kradzieży sesji (session hijacking) oraz wormable attacks, czyli samopropagujących się ataków obejmujących kolejnych użytkowników przeglądających zainfekowane treści.

Mitygacja

Należy zaktualizować platformę lollms do wersji 2.2.0, w której problem został rozwiązany. Poprawka dostępna jest w referencjach producenta oraz w commicie 9767b882dbc893c388a286856beeaead69b8292a w repozytorium GitHub.

Kogo dotyczy

Wszystkie wersje parisneo/lollms poprzedzające wersję 2.2.0.

Uwagi

Pomimo wektora CVSS wskazującego na wymaganie interakcji użytkownika (UI:R), podatność ma charakter stored XSS z potencjałem wormable — złośliwy kod rozprzestrzenia się automatycznie wśród użytkowników przeglądających feed, co znacząco zwiększa jej praktyczne ryzyko.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Lollms

    APP
    Lollms
    ≤ 2.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-1114CRITICAL9.8PL ✓ten sam produkt

Słaby klucz JWT umożliwia privilege escalation w parisneo/lollms

CVE-2026-0558CRITICAL9.8PL ✓ten sam produkt

Brak uwierzytelnienia w endpoint /api/files/extract-text w Lollms

CVE-2024-3429CRITICAL9.8PL ✓ten sam produkt

Path Traversal w lollms — nieautoryzowany odczyt plików na Windows

CVE-2026-0560HIGH7.5ten sam produkt

A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specific...

CVE-2026-0562HIGH8.3ten sam produkt

A critical security vulnerability in parisneo/lollms versions up to 2.2.0 allows any authenticated user to acc...

CVE-2026-1115 — Stored XSS w funkcji create_post platformy lollms — przejęcie konta — CRITICAL 9.6 | CVEbaza.pl