CVE-2026-1163 describes an insufficient session expiration vulnerability within the parisneo/lollms application. This flaw allows attackers to maintain persistent access to compromised accounts, even after a legitimate password reset. The vulnerability stems from a lack of session invalidation logic following a password reset and an extended default session duration of 31 days. Affected versions include those prior to 11.0.0.
parisneo/lollms の CVE-2026-1163 は、セッションの適切な期限切れがないために重大なリスクをもたらします。パスワードリセット後、アプリケーションはアクティブなセッションを無効化せず、攻撃者が古いセッショントークンを使用し続けることを可能にします。これは、非アクティブ期間後のリクエストを拒否するロジックがないことと、デフォルトのセッション期間が 31 日と長すぎることに起因します。攻撃者は、ユーザーがパスワードをリセットした後でも、侵害されたアカウントへの永続的なアクセスを維持できる可能性があります。これにより、データ窃盗、情報操作、機密リソースへの不正アクセスにつながる可能性があります。不適切なセッション管理は、アプリケーションのセキュリティとユーザーデータの機密性を損なうものです。利用可能な修正プログラムがないため、軽減策を実装する緊急性が高まっています。
攻撃者は、フィッシング、ソーシャルエンジニアリング、または資格情報の窃盗によってユーザーアカウントを侵害した場合、この脆弱性を悪用する可能性があります。ユーザーがパスワードをリセットした後 (おそらく知らないうちに)、攻撃者は依然として古いセッショントークンを使用して、正規のユーザーであるかのようにアプリケーションにアクセスし続ける可能性があります。デフォルトのセッション期間が長いほど、攻撃者がこの脆弱性を悪用できる期間が長くなります。非アクティブメカニズムがないため、攻撃者はユーザーがアクティブであっても、長期間アクセスを維持できます。この脆弱性は、データセキュリティが重要な環境で特に懸念されます。
Organizations deploying lollms in production environments, particularly those with sensitive data or critical infrastructure managed through the application, are at risk. Shared hosting environments where multiple users share the same lollms instance are also particularly vulnerable, as a compromise of one account could potentially lead to persistent access for the attacker.
• python / server:
import requests
import time
# Replace with your lollms instance URL
base_url = "http://your-lollms-instance"
# Get a session token (assuming you have a valid login)
# This is a placeholder - replace with your actual authentication flow
session_token = "your_session_token"
# Reset the password (assuming you have the necessary credentials)
password_reset_url = f"{base_url}/password_reset"
password_reset_data = {"email": "[email protected]"}
response = requests.post(password_reset_url, json=password_reset_data)
# Wait a few seconds for the password reset to complete
time.sleep(5)
# Attempt to use the old session token after the password reset
headers = {"Authorization": f"Bearer {session_token}"}
response = requests.get(f"{base_url}/protected_resource", headers=headers)
if response.status_code == 200:
print("Old session token still valid after password reset - Vulnerability Detected!")
else:
print("Old session token invalidated - No Vulnerability Detected.")disclosure
エクスプロイト状況
EPSS
0.04% (14% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-1163 の公式な修正プログラムが parisneo/lollms で利用できないため、軽減策を実装することを強くお勧めします。最初のステップは、デフォルトのセッション期間を大幅に短縮することです(例:15 分以内)。非アクティブに基づいたセッション期限切れメカニズムを実装することが重要です。定義されたアイドル時間後にリクエストを拒否する必要があります。さらに、パスワードがリセットされるたびに現在のセッションを強制的にログアウトする必要があります。セッションアクティビティを監視して異常なパターンを検出することで、潜在的な攻撃を検出して対応できます。追加のセキュリティレイヤーを追加するために、多要素認証 (MFA) の実装を検討してください。最新バージョン (リリースされている場合) でアプリケーションを最新の状態に保つことが不可欠です。
Implementar una lógica para invalidar las sesiones después de un restablecimiento de contraseña y reducir la duración predeterminada de la sesión para mitigar el riesgo de acceso persistente a cuentas comprometidas.
脆弱性分析と重要アラートをメールでお届けします。
これは、parisneo/lollms のこの特定のセキュリティ脆弱性を識別するためのユニークな識別子です。
推奨される軽減策を実装し、特にセッション期間を短縮し、非アクティブに基づいた期限切れを追加してください。
現在、公式な修正プログラムはありません。軽減策が不可欠です。
認識しない不正なログインまたはアクションがないか、アカウントのアクティビティを確認してください。
MFA は、パスワードに加えて、2 番目の検証形式を要求することで、追加のセキュリティレイヤーを追加します。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。