parisneo/lollms はソーシャル機能に格納型 XSS の脆弱性があります

このXSS脆弱性を悪用すると、攻撃者はソーシャル機能の投稿作成機能(create_post)を介して、悪意のあるJavaScriptコードをlollmsのデータベースに保存できます。保存されたコードは、Home Feedを閲覧するすべてのユーザーのブラウザで実行されます。攻撃者は、この脆弱性を利用して、ユーザーのCookieを盗み出し、セッションを乗っ取ったり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、さらに悪意のあるコードを他のユーザーに拡散させる（wormable）ことも可能です。管理者アカウントが侵害された場合、システム全体への影響が及ぶ可能性があります。

Administrators of lollms instances are particularly at risk due to their elevated privileges. Users who actively participate in the social feature of lollms are also vulnerable, as they may be exposed to malicious JavaScript injected by other users. Shared hosting environments running lollms could be affected if multiple tenants share the same database and one is compromised.

• python / lollms: Examine the backend/routers/social/init.py file for the create_post function and ensure proper sanitization of user input before assigning it to the DBPost model. • generic web: Monitor access logs for suspicious POST requests to the create_post endpoint containing unusual JavaScript code. • generic web: Inspect the Home Feed page source code for any unexpected JavaScript code that might have been injected by an attacker.

1. 2026-04-10Disclosure

   disclosure

1. 予約済み2026-01-17
2. 公開日2026-04-10
3. EPSS 更新日2026-04-17

この脆弱性への最善の対応は、lollmsをバージョン2.2.0以降にアップデートすることです。アップデートが利用できない場合、WAF（Web Application Firewall）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、入力値のサニタイズ処理を強化し、HTMLエスケープ処理を適切に実装することで、XSS攻撃のリスクを軽減できます。データベースへの保存前に、ユーザーからの入力を検証し、潜在的に危険な文字やコードを削除またはエスケープすることが重要です。アップデート後、Home Feedの動作を確認し、不正なJavaScriptコードが実行されていないことを確認してください。