Plateforme
python
Composant
lollms
Corrigé dans
2.2.0
2.2.0
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans la fonctionnalité sociale de lollms, développé par parisneo. Cette faille, présente dans les versions antérieures à 2.2.0, permet à un attaquant d'injecter et de stocker du code JavaScript malveillant. L'exécution de ce code affecte les utilisateurs accédant au fil d'actualité, y compris les administrateurs, et est corrigée dans la version 2.2.0.
Cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript malveillant dans la base de données de lollms via la fonctionnalité de publication sociale. Ce code est ensuite exécuté dans le navigateur de tout utilisateur accédant au fil d'actualité, y compris les administrateurs. Les conséquences potentielles sont graves : vol de session, prise de contrôle de compte, et même des attaques de type « wormable » où le code malveillant se propage à d'autres utilisateurs. L'attaquant pourrait ainsi compromettre l'intégrité du système et voler des informations sensibles.
Cette vulnérabilité a été publiée le 2026-04-10. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la sévérité élevée de la vulnérabilité et de la disponibilité du code source. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Administrators of lollms instances are particularly at risk due to their elevated privileges. Users who actively participate in the social feature of lollms are also vulnerable, as they may be exposed to malicious JavaScript injected by other users. Shared hosting environments running lollms could be affected if multiple tenants share the same database and one is compromised.
• python / lollms: Examine the backend/routers/social/init.py file for the create_post function and ensure proper sanitization of user input before assigning it to the DBPost model.
• generic web: Monitor access logs for suspicious POST requests to the create_post endpoint containing unusual JavaScript code.
• generic web: Inspect the Home Feed page source code for any unexpected JavaScript code that might have been injected by an attacker.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'instance de lollms vers la version 2.2.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de désactiver temporairement la fonctionnalité de publication sociale pour limiter la surface d'attaque. Une analyse rigoureuse du code source est également conseillée pour identifier et corriger d'autres potentielles failles XSS. Après la mise à jour, vérifiez l'intégrité du système en testant la fonctionnalité de publication sociale avec des entrées contenant des balises JavaScript inoffensives pour confirmer l'absence d'exécution de code.
Mettez à jour vers la version 2.2.0 ou ultérieure pour atténuer la vulnérabilité XSS. Cette version corrige le manque d'assainissement de l'entrée utilisateur dans la fonction `create_post`, empêchant l'injection de code malveillant dans le fil d'actualité principal.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1115 is a critical Stored Cross-Site Scripting (XSS) vulnerability in lollms versions up to 2.1.9, allowing attackers to inject malicious JavaScript into the social feature.
If you are running lollms version 2.1.9 or earlier, you are vulnerable to this XSS attack. Upgrade to 2.2.0 or later to mitigate the risk.
The recommended fix is to upgrade lollms to version 2.2.0 or later. As a temporary workaround, implement a WAF rule to filter malicious JavaScript.
While no public exploits have been released, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the lollms project's official repository and release notes for the advisory regarding CVE-2026-1115.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.