parisneo/lollms における Insecure Direct Object Reference (IDOR)

parisneo/lollms のバージョン 2.2.0 までの脆弱性が発見されました。この脆弱性は CVSS スコア 8.3 と評価されており、認証されたユーザーが他のユーザーの友達リクエストを承諾または拒否することを可能にします。backend/routers/friends.py の respondrequest() 関数には適切な認証チェックが実装されておらず、Insecure Direct Object Reference (IDOR) 攻撃を可能にします。攻撃者は /api/friends/requests/{friendshipid} エンドポイントを操作して、他のユーザーの代わりに動作し、アプリケーション内の関係のプライバシーとセキュリティを損なう可能性があります。関係への所属または受信者の身元の検証の失敗により、この操作が可能になります。このリスクを軽減するために、直ちにバージョン 2.2.0 以降に更新することを強くお勧めします。

Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.

• python / lollms:

# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
    version = result.stdout.split('Version:')[1].strip()
    if version <= '2.2.0':
        print('Vulnerable version detected!')

• generic web:

curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'

• generic web:

# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'

1. 2026-03-29Disclosure

   disclosure

1. 予約済み2026-01-01
2. 公開日2026-03-29
3. 更新日2026-04-22
4. EPSS 更新日2026-04-06

この脆弱性の解決策は、parisneo/lollms をバージョン 2.2.0 以降にアップグレードすることです。このバージョンは、respondrequest() 関数内の認証の欠陥を修正し、承認されたユーザーのみが友達リクエストと相互作用できるように適切なチェックを実装します。一時的な対策として、/api/friends/requests/{friendshipid} エンドポイントへのアクセスを、昇格された特権を持つユーザーに制限するか、操作の試行を検出および防止するための監査システムを実装します。機密データを処理するすべての関数、特にユーザー間の関係に関わる関数について、アクセス制御をレビューおよび強化することが重要です。