CVE-2026-39411: Authentication Bypass in @lobehub/lobehub

इस भेद्यता का फायदा उठाकर, एक हमलावर अनधिकृत रूप से वेबएपीआई रूट तक पहुंच सकता है, जैसे कि चैट प्रदाताओं, मॉडल और छवि निर्माण कार्यों को एक्सेस करना। चूंकि XOR कुंजी भंडार में हार्डकोड की गई है, इसलिए हमलावर आसानी से मनमाना प्रमाणीकरण पेलोड बना सकता है। यह डेटा उल्लंघन, अनधिकृत मॉडल एक्सेस या सिस्टम में अन्य दुर्भावनापूर्ण गतिविधियों का कारण बन सकता है। इस भेद्यता का शोषण करने से संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या सिस्टम की अखंडता से समझौता हो सकता है।

Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.

• nodejs / server:

  npm list @lobehub/lobehub

• nodejs / server:

  npm audit @lobehub/lobehub

• generic web: Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.

1. 2026-04-08Disclosure

   disclosure

1. आरक्षित2026-04-07
2. प्रकाशित2026-04-08
3. संशोधित2026-04-09
4. EPSS अद्यतन2026-04-16

इस भेद्यता को कम करने के लिए, @lobehub/lobehub को संस्करण 2.1.48 में तुरंत अपडेट करने की अनुशंसा की जाती है। यदि तत्काल अपग्रेड संभव नहीं है, तो वेबएपीआई रूट के लिए अतिरिक्त प्रमाणीकरण परतें लागू करने पर विचार करें। फ़ायरवॉल नियमों को कॉन्फ़िगर करें ताकि केवल विश्वसनीय स्रोतों से X-lobe-chat-auth हेडर स्वीकार किए जा सकें। लॉगिंग और मॉनिटरिंग को बढ़ाएं ताकि प्रमाणीकरण बाईपास प्रयासों का पता लगाया जा सके।