Plataforma
python
Componente
lollms
Corregido en
11.0.1
Existe una vulnerabilidad de expiración de sesión insuficiente en lollms, versiones hasta la 11.0.0. Esta falla permite a un atacante mantener acceso persistente a una cuenta comprometida, incluso después de que el usuario restablezca su contraseña. La ausencia de lógica para rechazar solicitudes tras un período de inactividad y la larga duración predeterminada de la sesión (31 días) son las causas principales. Se recomienda actualizar a la última versión disponible para mitigar este riesgo.
La vulnerabilidad de expiración de sesión en lollms permite a un atacante, tras comprometer una cuenta, mantener acceso continuo a la misma, incluso después de que el usuario legítimo haya restablecido su contraseña. Esto se debe a que el sistema no invalida las sesiones activas después del restablecimiento, permitiendo al atacante seguir utilizando el token de sesión antiguo. El impacto potencial incluye el acceso no autorizado a datos sensibles, la manipulación de la información almacenada en la aplicación y la ejecución de acciones en nombre del usuario comprometido. Esta situación es particularmente grave en entornos donde lollms maneja información confidencial o se integra con otros sistemas críticos.
La vulnerabilidad CVE-2026-1163 fue publicada el 7 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de pruebas de concepto (PoC) públicas activas. Sin embargo, la naturaleza de la vulnerabilidad, que permite el acceso persistente a cuentas, la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas que utilizan lollms para detectar cualquier actividad sospechosa.
Organizations deploying lollms in production environments, particularly those with sensitive data or critical infrastructure managed through the application, are at risk. Shared hosting environments where multiple users share the same lollms instance are also particularly vulnerable, as a compromise of one account could potentially lead to persistent access for the attacker.
• python / server:
import requests
import time
# Replace with your lollms instance URL
base_url = "http://your-lollms-instance"
# Get a session token (assuming you have a valid login)
# This is a placeholder - replace with your actual authentication flow
session_token = "your_session_token"
# Reset the password (assuming you have the necessary credentials)
password_reset_url = f"{base_url}/password_reset"
password_reset_data = {"email": "[email protected]"}
response = requests.post(password_reset_url, json=password_reset_data)
# Wait a few seconds for the password reset to complete
time.sleep(5)
# Attempt to use the old session token after the password reset
headers = {"Authorization": f"Bearer {session_token}"}
response = requests.get(f"{base_url}/protected_resource", headers=headers)
if response.status_code == 200:
print("Old session token still valid after password reset - Vulnerability Detected!")
else:
print("Old session token invalidated - No Vulnerability Detected.")disclosure
Estado del Exploit
EPSS
0.04% (14% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-1163 es actualizar lollms a una versión corregida que implemente la invalidación de sesiones después de un restablecimiento de contraseña y reduzca la duración predeterminada de la sesión. Si la actualización no es inmediatamente posible, se recomienda implementar medidas temporales como la invalidación manual de sesiones después de un restablecimiento de contraseña, aunque esto puede ser complejo de implementar. Además, se puede considerar la implementación de un sistema de monitoreo para detectar sesiones inusuales o prolongadas. Después de la actualización, verifique la correcta invalidación de sesiones tras un restablecimiento de contraseña mediante pruebas exhaustivas.
Implementar una lógica para invalidar las sesiones después de un restablecimiento de contraseña y reducir la duración predeterminada de la sesión para mitigar el riesgo de acceso persistente a cuentas comprometidas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-1163 is a vulnerability in lollms versions ≤11.0.0 where attackers can maintain access to accounts even after password resets due to insufficient session expiration logic.
You are affected if you are using lollms version 11.0.0 or earlier. The vulnerability allows persistent unauthorized access after a password reset.
Upgrade lollms to a version greater than 11.0.0. As a temporary workaround, shorten the session duration and implement stricter session invalidation policies.
There is no confirmed active exploitation of CVE-2026-1163 as of the current date, but the vulnerability's potential impact warrants prompt mitigation.
Refer to the official parisneo/lollms advisory for details regarding CVE-2026-1163 and the available patch.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.