प्लेटफ़ॉर्म
javascript
घटक
lollms
में ठीक किया गया
2.2.0
CVE-2026-1116 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो parisneo/lollms में पाई गई है, संस्करण 2.2.0 से पहले। यह भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जिससे उपयोगकर्ता के ब्राउज़र में उनका निष्पादन हो सकता है। यह भेद्यता lollms के from_dict विधि में असुरक्षित डेटा को डीसीरियलाइज़ करने के कारण उत्पन्न होती है। संस्करण 2.2.0 में इस समस्या का समाधान किया गया है।
इस XSS भेद्यता का शोषण करने वाला एक हमलावर उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह कोड उपयोगकर्ता के सत्र को हाईजैक करने, संवेदनशील जानकारी चुराने या अन्य दुर्भावनापूर्ण क्रियाएं करने के लिए इस्तेमाल किया जा सकता है। हमलावर खाता नियंत्रण प्राप्त कर सकते हैं, उपयोगकर्ता की जानकारी तक पहुंच प्राप्त कर सकते हैं, और यहां तक कि अन्य उपयोगकर्ताओं को लक्षित करने के लिए इस भेद्यता का उपयोग करके एक वर्म लॉन्च कर सकते हैं। इस भेद्यता का प्रभाव गंभीर हो सकता है, खासकर यदि lollms का उपयोग संवेदनशील डेटा को संसाधित करने या महत्वपूर्ण कार्यों को करने के लिए किया जाता है।
CVE-2026-1116 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं। यह भेद्यता अभी भी अपेक्षाकृत नई है, और सार्वजनिक रूप से उपलब्ध शोषण अभी तक नहीं हैं। हालांकि, XSS भेद्यताएँ आम तौर पर शोषण के लिए आसान होती हैं, और यह संभव है कि भविष्य में इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV सूची में शामिल नहीं है।
Applications that utilize lollms to process user-generated content or handle sensitive data are at significant risk. This includes web applications, chatbots, and any system where user input is deserialized and displayed without proper sanitization. Developers using older versions of lollms and those who haven't implemented robust input validation routines are particularly vulnerable.
• javascript: Inspect application code for instances where AppLollmsMessage objects are deserialized from user input without proper sanitization. Search for the from_dict method and its usage.
• generic web: Monitor web application logs for suspicious JavaScript execution patterns or unusual HTML content. Look for patterns indicative of XSS payloads.
• generic web: Use browser developer tools to inspect the DOM for unexpected script tags or HTML elements that could indicate XSS exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (1% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-1116 को कम करने के लिए, lollms को संस्करण 2.2.0 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करें जो XSS हमलों को ब्लॉक कर सके। इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके भी इस भेद्यता को कम किया जा सकता है। सुनिश्चित करें कि सभी उपयोगकर्ता इनपुट को ठीक से सैनिटाइज किया गया है और आउटपुट को HTML एन्कोड किया गया है ताकि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके।
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad XSS. Esta actualización incluye la sanitización o codificación HTML adecuada de los datos proporcionados por el usuario en el campo 'content' para prevenir la inyección de código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-1116 lollms में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप lollms के संस्करण 2.2.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
lollms को संस्करण 2.2.0 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2026-1116 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन भविष्य में इसका शोषण किया जा सकता है।
lollms के आधिकारिक सलाहकार के लिए, कृपया parisneo/lollms रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।