Plateforme
javascript
Composant
lollms
Corrigé dans
2.2.0
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans la méthode from_dict de la classe AppLollmsMessage de parisneo/lollms, affectant les versions antérieures à 2.2.0. Cette faille est due à un manque de validation ou d'encodage HTML du champ content lors de la désérialisation des données fournies par l'utilisateur. L'exploitation de cette vulnérabilité permet à un attaquant d'injecter des charges utiles HTML ou JavaScript malveillantes, exécutables dans le navigateur d'un autre utilisateur. La version 2.2.0 corrige ce problème.
Un attaquant peut exploiter cette vulnérabilité XSS pour injecter du code JavaScript malveillant dans l'application lollms. Ce code peut être exécuté dans le contexte du navigateur d'un utilisateur authentifié, permettant à l'attaquant de voler des cookies de session, de rediriger l'utilisateur vers des sites malveillants, ou de modifier le contenu de la page web. Dans le pire des cas, un attaquant pourrait prendre le contrôle du compte d'un utilisateur ou lancer des attaques de type « wormable », infectant potentiellement d'autres utilisateurs. La nature persistante de XSS rend cette vulnérabilité particulièrement dangereuse, car l'attaque peut se propager à d'autres utilisateurs sans intervention supplémentaire de l'attaquant.
Cette vulnérabilité a été rendue publique le 2026-04-12. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Bien qu'il n'existe pas de preuve d'exploitation publique, la nature de XSS rend cette vulnérabilité potentiellement exploitable, et il est conseillé de la corriger rapidement.
Applications that utilize lollms to process user-generated content or handle sensitive data are at significant risk. This includes web applications, chatbots, and any system where user input is deserialized and displayed without proper sanitization. Developers using older versions of lollms and those who haven't implemented robust input validation routines are particularly vulnerable.
• javascript: Inspect application code for instances where AppLollmsMessage objects are deserialized from user input without proper sanitization. Search for the from_dict method and its usage.
• generic web: Monitor web application logs for suspicious JavaScript execution patterns or unusual HTML content. Look for patterns indicative of XSS payloads.
• generic web: Use browser developer tools to inspect the DOM for unexpected script tags or HTML elements that could indicate XSS exploitation.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour lollms vers la version 2.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est crucial de mettre en œuvre une validation stricte de toutes les données fournies par l'utilisateur, en particulier le champ content. Utiliser un pare-feu applicatif web (WAF) configuré pour bloquer les attaques XSS peut également aider à atténuer le risque. De plus, il est recommandé de désactiver temporairement les fonctionnalités qui utilisent le champ content jusqu'à ce que la mise à jour puisse être appliquée. Après la mise à jour, vérifiez que le champ content est correctement encodé et validé pour prévenir de futures attaques XSS.
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad XSS. Esta actualización incluye la sanitización o codificación HTML adecuada de los datos proporcionados por el usuario en el campo 'content' para prevenir la inyección de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-1116 is a Cross-Site Scripting (XSS) vulnerability in the lollms project, affecting versions before 2.2.0. It allows attackers to inject malicious scripts through the content field during deserialization.
You are affected if you are using lollms version prior to 2.2.0 and have not implemented proper input sanitization.
Upgrade to version 2.2.0 or later of lollms. If upgrading is not possible, implement input validation and output encoding on the content field.
While no public exploits are currently known, the vulnerability's nature suggests it could be exploited, and monitoring is advised.
Refer to the lollms project's official repository or website for the advisory related to CVE-2026-1116.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.