HIGHCVE-2026-1116CVSS 8.2

parisneo/lollms における Cross-site Scripting (XSS)

Q: CVE-2026-1116 — XSS in lollmsとは何ですか？

CVE-2026-1116は、parisneo/lollmsの`AppLollmsMessage`クラスの`from_dict`メソッドにおけるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるHTML/JavaScriptを注入し、アカウント乗っ取りやセッションハイジャックを引き起こす可能性があります。

プラットフォーム

javascript

コンポーネント

lollms

修正版

2.2.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-1116は、parisneo/lollmsのAppLollmsMessageクラスのfrom_dictメソッドにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、ユーザーが提供したデータをデシリアライズする際に、contentフィールドのサニタイズやHTMLエンコードが不十分なために発生します。影響を受けるバージョンは、2.2.0より前のものです。バージョン2.2.0へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

このXSS脆弱性を悪用すると、攻撃者は悪意のあるHTMLまたはJavaScriptコードをユーザーのブラウザに注入できます。これにより、攻撃者はセッションCookieを盗み、ユーザーになりすまして機密情報にアクセスしたり、悪意のある操作を実行したりする可能性があります。さらに、この脆弱性は、他のユーザーのブラウザでコードを実行できるため、ワーム攻撃を引き起こす可能性もあります。攻撃者は、ユーザーを悪意のあるウェブサイトにリダイレクトしたり、フィッシング詐欺を実行したりすることも可能です。この脆弱性は、特にlollmsを公開サーバーで実行している場合に、重大なセキュリティリスクをもたらします。

悪用の状況

CVE-2026-1116は、2026年4月12日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications that utilize lollms to process user-generated content or handle sensitive data are at significant risk. This includes web applications, chatbots, and any system where user input is deserialized and displayed without proper sanitization. Developers using older versions of lollms and those who haven't implemented robust input validation routines are particularly vulnerable.

検出手順翻訳中…

• javascript: Inspect application code for instances where AppLollmsMessage objects are deserialized from user input without proper sanitization. Search for the from_dict method and its usage. • generic web: Monitor web application logs for suspicious JavaScript execution patterns or unusual HTML content. Look for patterns indicative of XSS payloads. • generic web: Use browser developer tools to inspect the DOM for unexpected script tags or HTML elements that could indicate XSS exploitation.

攻撃タイムライン

2026-04-12Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート5 件の脅威レポート

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントlollms

ベンダーparisneo

影響範囲修正版

unspecified – 2.2.02.2.0

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-01-17
公開日2026-04-12
更新日2026-04-13
EPSS 更新日2026-04-19

緩和策と回避策

この脆弱性への最も効果的な対策は、lollmsをバージョン2.2.0以降にアップデートすることです。アップデートがすぐに利用できない場合、入力データのサニタイズまたはHTMLエンコードを実装することで、脆弱性の影響を軽減できます。Web Application Firewall (WAF) を使用して、XSS攻撃をブロックすることも有効です。また、入力検証を強化し、信頼できないソースからのデータを処理する際には、常に注意を払う必要があります。アップデート後、lollmsのログを監視し、異常なアクティビティがないか確認してください。

修正方法翻訳中…

Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad XSS. Esta actualización incluye la sanitización o codificación HTML adecuada de los datos proporcionados por el usuario en el campo 'content' para prevenir la inyección de código malicioso.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-1116 — XSS in lollmsとは何ですか？

CVE-2026-1116は、parisneo/lollmsのAppLollmsMessageクラスのfrom_dictメソッドにおけるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者は悪意のあるHTML/JavaScriptを注入し、アカウント乗っ取りやセッションハイジャックを引き起こす可能性があります。

CVE-2026-1116 in lollmsで影響を受けますか？

lollmsのバージョンが2.2.0より前である場合、この脆弱性の影響を受けます。バージョン2.2.0以降にアップデートすることで、脆弱性を修正できます。

CVE-2026-1116 in lollmsを修正するにはどうすればよいですか？

lollmsをバージョン2.2.0以降にアップデートしてください。アップデートがすぐに利用できない場合は、入力データのサニタイズまたはHTMLエンコードを実装することを検討してください。

CVE-2026-1116は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-1116に関する公式lollmsのアドバイザリはどこで入手できますか？

パリネオの公式リポジトリまたは関連するセキュリティアナウンスメントを参照してください。