MEDIUMCVE-2026-39411CVSS 5

CVE-2026-39411: Authentication Bypass in @lobehub/lobehub

Q: CVE-2026-39411 — 認証バイパスは@lobehub/lobehubで何ですか？

CVE-2026-39411は、@lobehub/lobehubにおける認証バイパスの脆弱性です。X-lobe-chat-authヘッダーの検証不備により、認証を回避可能になります。

Q: CVE-2026-39411は@lobehub/lobehubで影響を受けますか？

はい、@lobehub/lobehubのバージョン2.1.48より前のバージョンは、この脆弱性に影響を受けます。

Q: CVE-2026-39411は@lobehub/lobehubをどのように修正しますか？

この脆弱性を修正するには、@lobehub/lobehubをバージョン2.1.48にアップデートしてください。

Q: CVE-2026-39411は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、攻撃者による悪用が懸念されます。

Q: CVE-2026-39411の@lobehub/lobehubの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、@lobehub/lobehubのリリースノートまたはGitHubリポジトリで確認できます。

プラットフォーム

nodejs

コンポーネント

@lobehub/lobehub

修正版

2.1.49

2.1.48

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-39411は、@lobehub/lobehubにおける認証バイパスの脆弱性です。この脆弱性は、クライアントが制御するX-lobe-chat-authヘッダーの検証が不十分であるために発生し、認証を回避することが可能です。影響を受けるバージョンは2.1.48以前であり、2.1.48へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は認証を回避し、webapiの保護されたルートに不正にアクセスすることが可能になります。具体的には、POST /webapi/chat/[provider], GET /webapi/models/[provider], POST /webapi/models/[provider]/pull, POST /webapi/create-image/comfyuiなどのエンドポイントを操作し、機密データへの不正アクセス、モデルの変更、または悪意のあるコードの実行といった攻撃を実行できる可能性があります。XORキーがハードコードされているため、攻撃者は容易に認証ペイロードを偽造できます。

悪用の状況

この脆弱性は2026年4月8日に公開されました。現時点では、公開されているPoCは確認されていませんが、XORキーがハードコードされているため、攻撃者による悪用が懸念されます。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.

検出手順翻訳中…

• nodejs / server:

  npm list @lobehub/lobehub

• nodejs / server:

  npm audit @lobehub/lobehub

• generic web: Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネント@lobehub/lobehub

ベンダーosv

影響範囲修正版

< 2.1.48 – < 2.1.482.1.49

—2.1.48

弱点分類 (CWE)

CWE-287 CWE-290 CWE-345

タイムライン

予約済み2026-04-07
公開日2026-04-08
更新日2026-04-09
EPSS 更新日2026-04-16

緩和策と回避策

この脆弱性への最も効果的な対策は、@lobehub/lobehubをバージョン2.1.48にアップデートすることです。アップデートがすぐに利用できない場合、WAF（Web Application Firewall）を使用して、不正なX-lobe-chat-authヘッダーをブロックすることを検討してください。また、アクセスログを監視し、異常なアクセスパターンを検出することも有効です。アップデート後、認証バイパスが解消されていることを確認してください。

修正方法

LobeHub をバージョン 2.1.48 以降にアップデートして、脆弱性を軽減してください。 このアップデートにより、認証処理が修正され、認証ヘッダーを偽造して認証なしで保護されたルートにアクセスする可能性がなくなります。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39411 — 認証バイパスは@lobehub/lobehubで何ですか？