Platform
python
Component
parisneo/lollms
Opgelost in
2.2.0
CVE-2026-0562 is een Insecure Direct Object Reference (IDOR) kwetsbaarheid in lollms, waardoor geauthenticeerde gebruikers vriendschapsverzoeken van andere gebruikers kunnen accepteren of afwijzen. De impact is ongeautoriseerde toegang en privacy schendingen. De kwetsbaarheid beïnvloedt versies t/m 2.2.0. De kwetsbaarheid is opgelost in versie 2.2.0.
Een kritieke beveiligingslek is ontdekt in parisneo/lollms-versies tot en met 2.2.0. Dit lek, beoordeeld met een CVSS-score van 8.3, stelt geauthenticeerde gebruikers in staat om vriendschapsverzoeken van andere gebruikers te accepteren of te weigeren. De functie respondrequest() in backend/routers/friends.py mist de juiste autorisatiecontroles, waardoor Insecure Direct Object Reference (IDOR)-aanvallen mogelijk zijn. Een aanvaller kan de /api/friends/requests/{friendshipid} endpoint manipuleren om namens andere gebruikers te handelen, waardoor de privacy en veiligheid van relaties binnen de applicatie in gevaar komt. Het falen om lidmaatschap van de relatie of de identiteit van de ontvanger te verifiëren, maakt deze manipulatie mogelijk. Onmiddellijke actie wordt ten zeerste aangeraden om dit risico te beperken.
Een geauthenticeerde aanvaller binnen de parisneo/lollms-applicatie kan dit lek uitbuiten door de friendshipid van een vriendschapsverzoek te kennen. Door toegang te krijgen tot /api/friends/requests/{friendshipid} met een HTTP-verzoek (meestal POST of PUT), kan de aanvaller het verzoek namens de ontvanger accepteren of weigeren, zonder de vereiste autorisatie te hebben. De eenvoud van de uitbuiting komt voort uit het ontbreken van validatie van de identiteit van de gebruiker die de actie uitvoert, waardoor elke geauthenticeerde gebruiker de relaties van anderen kan beïnvloeden. Dit lek kan worden gebruikt om de reputatie van een gebruiker te schaden, sociale interacties binnen de applicatie te manipuleren of zelfs toegang te krijgen tot vertrouwelijke informatie die verband houdt met relaties.
Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.
• python / lollms:
# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip()
if version <= '2.2.0':
print('Vulnerable version detected!')• generic web:
curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'• generic web:
# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor dit lek is het upgraden naar versie 2.2.0 of hoger van parisneo/lollms. Deze versie corrigeert de autorisatiefout in de functie respondrequest() door de juiste controles te implementeren om ervoor te zorgen dat alleen geautoriseerde gebruikers met vriendschapsverzoeken kunnen interageren. Als tijdelijke maatregel, beperk de toegang tot de /api/friends/requests/{friendshipid} endpoint tot gebruikers met verhoogde privileges of implementeer een auditsysteem om pogingen tot manipulatie te detecteren en te voorkomen. Het is cruciaal om de toegangscontroles te beoordelen en te versterken voor alle functies die gevoelige gegevens verwerken, met name die welke betrekking hebben op gebruikersrelaties.
Update de lollms-installatie naar versie 2.2.0 of hoger. Deze versie bevat de correctie voor de IDOR-kwetsbaarheid in de functie `respond_request()` van het bestand `backend/routers/friends.py`. De update voorkomt dat geauthenticeerde gebruikers vriendschapsverzoeken van andere gebruikers accepteren of afwijzen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een IDOR-aanval (Insecure Direct Object Reference) treedt op wanneer een applicatie een intern object (zoals een vriendschapsverzoek) via een voorspelbare of manipuleerbare identifier openlegt, zonder te verifiëren of de huidige gebruiker de toestemming heeft om toegang te krijgen tot dat object.
Als u een versie van parisneo/lollms gebruikt vóór 2.2.0, is de kans groot dat u getroffen bent. Controleer uw requirements.txt- of package.json-bestand om de geïnstalleerde versie te identificeren.
Als tijdelijke maatregel, beperk de toegang tot de /api/friends/requests/{friendship_id} endpoint of implementeer een auditsysteem om pogingen tot manipulatie te detecteren.
Er zijn statische en dynamische beveiligingstools die kunnen helpen bij het identificeren van IDOR-kwetsbaarheden. Overweeg om deze tools te gebruiken als onderdeel van uw ontwikkelproces.
U kunt meer informatie over CVE-2026-0562 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) en in de parisneo/lollms-repository.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.