प्लेटफ़ॉर्म
python
घटक
parisneo/lollms
में ठीक किया गया
2.2.0
CVE-2026-0562, parisneo/lollms के 2.2.0 तक के संस्करणों में एक गंभीर सुरक्षा भेद्यता है, जो किसी भी प्रमाणित उपयोगकर्ता को अन्य उपयोगकर्ताओं के फ्रेंड रिक्वेस्ट को स्वीकार या अस्वीकार करने की अनुमति देती है। backend/routers/friends.py में respond_request() फ़ंक्शन उचित प्राधिकरण जांच लागू नहीं करता है, जिससे असुरक्षित डायरेक्ट ऑब्जेक्ट रेफरेंस (IDOR) हमले संभव हो जाते हैं। यह भेद्यता अनधिकृत पहुंच, गोपनीयता उल्लंघन और संभावित रूप से अन्य गंभीर परिणामों की ओर ले जा सकती है। यह भेद्यता संस्करण 2.2.0 में ठीक की गई है।
parisneo/lollms के संस्करण 2.2.0 तक में एक गंभीर सुरक्षा भेद्यता की पहचान की गई है। इस भेद्यता को CVSS स्कोर 8.3 के साथ रेट किया गया है, जो प्रमाणित उपयोगकर्ताओं को अन्य उपयोगकर्ताओं के मित्र अनुरोधों को स्वीकार या अस्वीकार करने की अनुमति देता है। backend/routers/friends.py में respondrequest() फ़ंक्शन में उचित प्राधिकरण जांच का अभाव है, जो असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ (IDOR) हमलों को सक्षम बनाता है। एक हमलावर एप्लिकेशन के भीतर संबंधों की गोपनीयता और सुरक्षा से समझौता करते हुए अन्य उपयोगकर्ताओं की ओर से कार्य करने के लिए /api/friends/requests/{friendshipid} एंडपॉइंट को हेरफेर कर सकता है। संबंध सदस्यता या प्राप्तकर्ता की पहचान को सत्यापित करने में विफलता इस हेरफेर को सक्षम बनाती है। इस जोखिम को कम करने के लिए संस्करण 2.2.0 या उच्चतर में अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है।
parisneo/lollms एप्लिकेशन के भीतर एक प्रमाणित हमलावर मित्र अनुरोध के friendshipid को जानकर इस भेद्यता का फायदा उठा सकता है। HTTP अनुरोध (आमतौर पर POST या PUT) के साथ /api/friends/requests/{friendshipid} तक पहुंच कर, हमलावर प्राप्तकर्ता की ओर से अनुरोध को स्वीकार या अस्वीकार कर सकता है, जिसके लिए प्राधिकरण की आवश्यकता नहीं है। शोषण में आसानी इस तथ्य से उत्पन्न होती है कि कार्रवाई करने वाले उपयोगकर्ता की पहचान को मान्य नहीं किया जाता है, जिससे कोई भी प्रमाणित उपयोगकर्ता अन्य उपयोगकर्ताओं के संबंधों को प्रभावित कर सकता है। इस भेद्यता का उपयोग किसी उपयोगकर्ता की प्रतिष्ठा को नुकसान पहुंचाने, एप्लिकेशन के भीतर सामाजिक इंटरैक्शन में हेरफेर करने या संबंधों से जुड़े गोपनीय जानकारी तक पहुंचने के लिए किया जा सकता है।
Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.
• python / lollms:
# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip()
if version <= '2.2.0':
print('Vulnerable version detected!')• generic web:
curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'• generic web:
# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता का समाधान parisneo/lollms को संस्करण 2.2.0 या उच्चतर में अपग्रेड करना है। यह संस्करण respondrequest() फ़ंक्शन में प्राधिकरण दोष को ठीक करता है, केवल अधिकृत उपयोगकर्ताओं को मित्र अनुरोधों के साथ इंटरैक्ट करने की अनुमति देने के लिए उचित जांच को लागू करता है। एक अस्थायी उपाय के रूप में, /api/friends/requests/{friendshipid} एंडपॉइंट तक पहुंच को उन्नत विशेषाधिकार वाले उपयोगकर्ताओं तक सीमित करें या हेरफेर के प्रयासों का पता लगाने और रोकने के लिए एक ऑडिटिंग सिस्टम लागू करें। संवेदनशील डेटा को संभालने वाले सभी कार्यों, विशेष रूप से उपयोगकर्ता संबंधों से संबंधित कार्यों के लिए एक्सेस नियंत्रण की समीक्षा और मजबूत करना महत्वपूर्ण है।
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad IDOR. Esta versión implementa las verificaciones de autorización necesarias para prevenir el acceso no autorizado a las solicitudes de amistad de otros usuarios.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक IDOR (असुरक्षित प्रत्यक्ष ऑब्जेक्ट संदर्भ) हमला तब होता है जब कोई एप्लिकेशन एक अनुमानित या हेरफेर योग्य पहचानकर्ता के माध्यम से एक आंतरिक ऑब्जेक्ट (जैसे मित्र अनुरोध) को उजागर करता है, बिना यह सत्यापित किए कि वर्तमान उपयोगकर्ता के पास उस ऑब्जेक्ट तक पहुंचने की अनुमति है या नहीं।
यदि आप parisneo/lollms के 2.2.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। स्थापित संस्करण की पहचान करने के लिए अपनी requirements.txt या package.json फ़ाइल की जांच करें।
एक अस्थायी उपाय के रूप में, /api/friends/requests/{friendship_id} एंडपॉइंट तक पहुंच को सीमित करें या हेरफेर के प्रयासों का पता लगाने के लिए एक ऑडिटिंग सिस्टम लागू करें।
स्थिर और गतिशील सुरक्षा विश्लेषण उपकरण IDOR कमजोरियों की पहचान करने में मदद कर सकते हैं। कृपया अपने विकास प्रक्रिया के हिस्से के रूप में इन उपकरणों का उपयोग करने पर विचार करें।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस और parisneo/lollms रिपॉजिटरी में CVE-2026-0562 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।