Plataforma
nodejs
Componente
@lobehub/lobehub
Corregido en
2.1.49
2.1.48
La vulnerabilidad CVE-2026-39411 es una falla de omisión de autenticación en la biblioteca @lobehub/lobehub. Un atacante puede explotar esta falla para evadir la autenticación y acceder a rutas protegidas de la API web, comprometiendo la seguridad de las interacciones con el servicio. Afecta a versiones anteriores a 2.1.48 y se recomienda actualizar a la versión corregida para solucionar el problema.
Esta vulnerabilidad permite a un atacante eludir la autenticación en la API web de @lobehub/lobehub, lo que significa que pueden realizar acciones como crear imágenes con ComfyUI, obtener modelos y manipular la comunicación con proveedores de chat sin la debida autorización. La autenticación se basa en un encabezado X-lobe-chat-auth que se ofusca mediante XOR, pero la clave XOR es estática y se encuentra en el repositorio, lo que facilita la creación de payloads maliciosos. El impacto potencial incluye la manipulación de datos, la ejecución de código no autorizado y el acceso a información sensible, dependiendo de los permisos asociados a las rutas afectadas.
La vulnerabilidad fue publicada el 8 de abril de 2026. No se ha añadido a KEV ni se ha reportado una puntuación EPSS. No se conocen públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (clave XOR estática) facilita su explotación. Se recomienda monitorear activamente los sistemas afectados en busca de signos de actividad maliciosa.
Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @lobehub/lobehub• nodejs / server:
npm audit @lobehub/lobehub• generic web:
Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.
disclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-39411 es actualizar la biblioteca @lobehub/lobehub a la versión 2.1.48 o superior. Si la actualización causa problemas de compatibilidad, considere implementar una solución temporal como la restricción de acceso a las rutas afectadas a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, revise y fortalezca la lógica de autenticación en su aplicación para evitar la dependencia de encabezados no autenticados. Después de la actualización, confirme que la autenticación funciona correctamente mediante la realización de pruebas de acceso a las rutas protegidas.
Actualice LobeHub a la versión 2.1.48 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la forma en que se maneja la autenticación, eliminando la posibilidad de falsificar encabezados de autorización y acceder a rutas protegidas sin autenticación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39411 es una vulnerabilidad de omisión de autenticación en la biblioteca @lobehub/lobehub que permite a los atacantes evadir la autenticación y acceder a rutas protegidas de la API web.
Si está utilizando una versión de @lobehub/lobehub anterior a 2.1.48, es vulnerable a esta vulnerabilidad. Actualice a la última versión para mitigar el riesgo.
La solución es actualizar la biblioteca @lobehub/lobehub a la versión 2.1.48 o superior. Si la actualización causa problemas, considere implementar soluciones temporales como un WAF.
Aunque no se conocen explotaciones activas, la naturaleza de la vulnerabilidad facilita su explotación, por lo que se recomienda monitorear los sistemas afectados.
Consulte el repositorio oficial de @lobehub/lobehub o su documentación para obtener información sobre la vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.