Gratis scannen
CRITICALCVE-2026-1114CVSS 9.8

Onjuiste Toegangscontrole via Zwakke JWT Token in parisneo/lollms

Platform

nodejs

Component

lollms

Opgelost in

2.2.0

AI Confidence: highNVDEPSS 0.1%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-1114 betreft een kritieke kwetsbaarheid in de lollms applicatie. Door het gebruik van een zwakke secret key voor het ondertekenen van JSON Web Tokens (JWT), is het mogelijk voor aanvallers om offline brute-force aanvallen uit te voeren om de secret key te kraken. Met de gekraakte secret key kunnen aanvallers vervolgens administratieve tokens vervalsen en ongeautoriseerde toegang krijgen tot de applicatie. De kwetsbaarheid is verholpen in versie 2.2.0.

Impact en Aanvalsscenarios

De kwetsbaarheid CVE-2026-1114 in parisneo/lollms (versie 2.1.0) brengt het sessiebeheer in gevaar door het gebruik van een zwakke geheime sleutel voor het ondertekenen van JSON Web Tokens (JWT). Dit stelt een aanvaller in staat om een offline brute-force aanval uit te voeren om de geheime sleutel te herstellen. Zodra de geheime sleutel is verkregen, kan de aanvaller administratieve tokens vervalsen door de JWT-payload te wijzigen en deze opnieuw te ondertekenen met de gekraakte sleutel, waardoor ongeautoriseerde gebruikers privileges kunnen escaleren en zich voordoen als beheerders. De CVSS-score van 9.8 duidt op een kritieke ernst, wat betekent dat een succesvolle exploitatie aanzienlijke gevolgen kan hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem.

Uitbuitingscontext

Een aanvaller met netwerktoegang tot de omgeving waar parisneo/lollms wordt uitgevoerd, kan een brute-force aanval lanceren tegen de JWT-geheime sleutel. Deze aanval kan worden geautomatiseerd en offline worden uitgevoerd, wat betekent dat de aanvaller niet in realtime verbinding hoeft te maken met de applicatie. Zodra de geheime sleutel is gecompromitteerd, kan de aanvaller geldige JWT's maken met administratieve privileges, waardoor ze de controle over de applicatie kunnen overnemen en toegang krijgen tot gevoelige gegevens. Het ontbreken van adequate bescherming van de geheime sleutel is de belangrijkste oorzaak van deze kwetsbaarheid. De complexiteit van de aanval hangt af van de lengte en willekeurigheid van de oorspronkelijke geheime sleutel.

Wie Loopt Risicowordt vertaald…

Organizations deploying lollms in production environments, particularly those with sensitive data or critical infrastructure, are at significant risk. Shared hosting environments where multiple users share the same lollms instance are especially vulnerable, as a compromise of one user's JWT could potentially lead to access for all users.

Detectiestappenwordt vertaald…

• nodejs: Monitor application logs for unusual JWT activity, specifically attempts to modify or resign tokens. Use npm audit to check for known vulnerabilities in dependencies.

npm audit

• generic web: Examine access logs for requests to administrative endpoints with suspicious JWTs. Check response headers for signs of token manipulation.

curl -I <lollms_admin_endpoint> | grep JWT

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.06% (19% percentiel)

CISA SSVC

Exploitatiepoc
Automatiseerbaaryes
Technische Impacttotal

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentlollms
Leverancierparisneo
Getroffen bereikOpgelost in
unspecified – 2.2.02.2.0

Zwakheidsclassificatie (CWE)

CWE-284

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 2.2.0 van parisneo/lollms. Deze versie implementeert een robuustere geheime sleutel voor JWT-ondertekening, waardoor het risico op brute-force aanvallen wordt verminderd. Controleer en versterk bovendien beveiligingsbeleid met betrekking tot sessiebeheer en toegangscontrole. Het monitoren van applicatielogboeken op verdachte activiteiten, zoals ongeautoriseerde toegangspogingen of ongebruikelijke JWT-tokenwijzigingen, kan ook helpen bij het detecteren en voorkomen van potentiële aanvallen. De upgrade moet zo snel mogelijk worden uitgevoerd om de blootstellingsperiode aan de kwetsbaarheid te minimaliseren.

Hoe te verhelpenwordt vertaald…

Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad. Esta versión implementa una clave secreta más segura para la firma de JWT, previniendo la recuperación de la clave y la falsificación de tokens administrativos.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-1114 in lollms?

Een JWT (JSON Web Token) is een open standaard voor het veilig overdragen van informatie als een JSON-object. Het wordt vaak gebruikt voor authenticatie en autorisatie.

Ben ik getroffen door CVE-2026-1114 in lollms?

De geheime sleutel wordt gebruikt om JWT's te ondertekenen, waardoor wordt gewaarborgd dat ze niet zijn gewijzigd. Een zwakke sleutel maakt het gemakkelijker om de sleutel te herstellen en tokens te vervalsen.

Hoe los ik CVE-2026-1114 in lollms op?

Als een onmiddellijke update niet mogelijk is, overweeg dan tijdelijke mitigerende maatregelen te implementeren, zoals intensieve logboekmonitoring en het beperken van de toegang tot de applicatie.

Wordt CVE-2026-1114 actief misbruikt?

Vulnerability scanning tools kunnen het gebruik van zwakke sleutels in JWT's identificeren. Raadpleeg uw beveiligingsteam om de juiste tools te bepalen.

Waar vind ik het officiële lollms-beveiligingsadvies voor CVE-2026-1114?

Gebruik robuuste en willekeurige geheime sleutels, bewaar sleutels veilig en overweeg het gebruik van veiligere signeer-algoritmen.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken