Plateforme
python
Composant
parisneo/lollms
Corrigé dans
2.2.0
La vulnérabilité CVE-2026-0562 est une faille IDOR (Insecure Direct Object Reference) critique affectant les versions de parisneo/lollms comprises entre 0.0.0 et 2.2.0. Cette faille permet à un utilisateur authentifié d'accepter ou de refuser des demandes d'amis qui ne lui sont pas destinées. La correction est disponible dans la version 2.2.0.
Cette vulnérabilité IDOR exploite une absence de vérification d'autorisation dans la fonction respondrequest() du fichier backend/routers/friends.py. L'endpoint /api/friends/requests/{friendshipid} ne vérifie pas si l'utilisateur authentifié fait partie de la relation d'amitié ou est le destinataire de la demande. Un attaquant authentifié peut ainsi manipuler les requêtes d'amis d'autres utilisateurs, compromettant potentiellement leur vie privée et leur sécurité. L'impact est significatif car il permet un accès non autorisé aux données personnelles et aux relations sociales au sein de l'application. Une exploitation réussie pourrait également servir de tremplin pour d'autres attaques, en fonction des permissions accordées aux utilisateurs après l'acceptation ou le refus d'une demande d'ami.
La vulnérabilité CVE-2026-0562 a été rendue publique le 29 mars 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'est connu. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA, ce qui suggère une probabilité d'exploitation relativement faible (basse à moyenne).
Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.
• python / lollms:
# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip()
if version <= '2.2.0':
print('Vulnerable version detected!')• generic web:
curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'• generic web:
# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau parisneo/lollms vers la version 2.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à implémenter une couche de validation supplémentaire au niveau de l'application, vérifiant que l'utilisateur authentifié est bien le destinataire de la demande d'ami avant de permettre l'action d'acceptation ou de refus. Il est également recommandé de surveiller les logs de l'application pour détecter des tentatives d'accès non autorisées aux endpoints liés aux demandes d'amis. Une fois la mise à niveau effectuée, vérifiez que les requêtes d'amis sont correctement gérées et que seul le destinataire peut y répondre.
Mettez à jour vers la version 2.2.0 ou ultérieure pour atténuer la vulnérabilité IDOR. Cette version implémente les vérifications d'autorisation nécessaires pour prévenir l'accès non autorisé aux demandes d'amis d'autres utilisateurs.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-0562 is a HIGH severity Insecure Direct Object Reference (IDOR) vulnerability in parisneo/lollms versions up to 2.2.0, allowing authenticated users to manipulate friend requests of other users.
You are affected if you are using parisneo/lollms versions 0.0.0 through 2.2.0 and have not upgraded to a patched version.
Upgrade to version 2.2.0 or later. As a temporary workaround, implement robust authorization checks on the /api/friends/requests/{friendship_id} endpoint.
There is currently no indication of active exploitation or a public proof-of-concept.
Refer to the parisneo/lollms project's official repository or communication channels for the advisory related to CVE-2026-0562.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.