CVE-2026-39411: Authenticatie Bypass in @lobehub/lobehub
Platform
nodejs
Component
@lobehub/lobehub
Opgelost in
2.1.49
2.1.48
CVE-2026-39411 beschrijft een authenticatie bypass kwetsbaarheid in de @lobehub/lobehub Node.js bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om de authenticatie te omzeilen door een client-gecontroleerde X-lobe-chat-auth header te vervalsen. De kwetsbaarheid treft versies van @lobehub/lobehub die eerder dan 2.1.48 zijn uitgebracht. Een update naar versie 2.1.48 of hoger is vereist om de kwetsbaarheid te verhelpen.
Impact en Aanvalsscenarios
De authenticatie bypass kwetsbaarheid in @lobehub/lobehub stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot gevoelige webapi-routes. Dit omvat routes voor het beheren van chatproviders (/webapi/chat/[provider]), het ophalen van modellen (/webapi/models/[provider]), het pullen van modellen (/webapi/models/[provider]/pull) en het genereren van afbeeldingen met ComfyUI (/webapi/create-image/comfyui). Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot modelgegevens, configuratie-instellingen en mogelijk de mogelijkheid om de applicatie te misbruiken voor kwaadaardige doeleinden. Omdat de XOR-sleutel hardcoded is, is het relatief eenvoudig om de header te vervalsen.
Uitbuitingscontext
Op het moment van publicatie (2026-04-08) is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-39411. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend). De relatieve eenvoud van de exploitatie, gezien de hardcoded XOR-sleutel, suggereert een potentieel risico voor misbruik.
Wie Loopt Risicowordt vertaald…
Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.
Detectiestappenwordt vertaald…
• nodejs / server:
npm list @lobehub/lobehub• nodejs / server:
npm audit @lobehub/lobehub• generic web:
Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.
Aanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Laag — gedeeltelijke of intermitterende denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2026-39411 is het upgraden van @lobehub/lobehub naar versie 2.1.48 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) om verdachte X-lobe-chat-auth headers te blokkeren. Controleer ook de toegangscontrolelijsten (ACL's) op de webapi-routes om te zorgen voor een minimale privilege-aanpak. Na de upgrade, verifieer de fix door te proberen de X-lobe-chat-auth header te vervalsen en te controleren of de authenticatie correct functioneert.
Hoe te verhelpen
Werk LobeHub bij naar versie 2.1.48 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert de manier waarop authenticatie wordt afgehandeld, waardoor de mogelijkheid om autorisatieheaders te vervalsen en toegang te krijgen tot beschermde routes zonder authenticatie wordt geëlimineerd.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-39411 — Authenticatie Bypass in @lobehub/lobehub?
CVE-2026-39411 is een kwetsbaarheid waarbij de authenticatie in @lobehub/lobehub kan worden omzeild door een vervalste X-lobe-chat-auth header te gebruiken, vanwege een hardcoded XOR-sleutel.
Ben ik getroffen door CVE-2026-39411 in @lobehub/lobehub?
Ja, als u een versie van @lobehub/lobehub gebruikt die eerder dan 2.1.48 is uitgebracht, bent u getroffen door deze kwetsbaarheid.
Hoe kan ik CVE-2026-39411 in @lobehub/lobehub oplossen?
Upgrade @lobehub/lobehub naar versie 2.1.48 of hoger om de kwetsbaarheid te verhelpen. Overweeg tijdelijke mitigaties zoals een WAF.
Wordt CVE-2026-39411 actief misbruikt?
Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-39411.
Waar kan ik het officiële @lobehub/lobehub advisory voor CVE-2026-39411 vinden?
Raadpleeg de officiële LobeHub documentatie en GitHub repository voor updates en advisories met betrekking tot CVE-2026-39411.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.