Platform
python
Component
lollms
Opgelost in
2.2.0
2.2.0
Een Stored Cross-Site Scripting (XSS) kwetsbaarheid is ontdekt in de social feature van lollms, specifiek in versies tot en met 2.1.9. Deze kwetsbaarheid stelt aanvallers in staat om kwaadaardige JavaScript-code op te slaan en uit te voeren in de browsers van gebruikers die de Home Feed bekijken, inclusief beheerders. De kwetsbaarheid is verholpen in versie 2.2.0.
Deze XSS-kwetsbaarheid in lollms maakt het mogelijk voor aanvallers om kwaadaardige scripts op te slaan in de social feature. Wanneer andere gebruikers, waaronder beheerders, de Home Feed bekijken, wordt de opgeslagen JavaScript uitgevoerd in hun browsers. Dit kan leiden tot verschillende ernstige gevolgen, zoals accountovername, waarbij de aanvaller de controle over een gebruikersaccount kan overnemen. Session hijacking is ook mogelijk, waarbij de aanvaller de sessie van een gebruiker kan kapen en als die gebruiker kan inloggen. Bovendien is de kwetsbaarheid wormable, wat betekent dat de aanvaller de kwetsbaarheid kan gebruiken om andere systemen binnen het netwerk te infecteren.
Deze kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-10. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de ernst van de kwetsbaarheid (CVSS 9.6) maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven.
Administrators of lollms instances are particularly at risk due to their elevated privileges. Users who actively participate in the social feature of lollms are also vulnerable, as they may be exposed to malicious JavaScript injected by other users. Shared hosting environments running lollms could be affected if multiple tenants share the same database and one is compromised.
• python / lollms: Examine the backend/routers/social/init.py file for the create_post function and ensure proper sanitization of user input before assigning it to the DBPost model.
• generic web: Monitor access logs for suspicious POST requests to the create_post endpoint containing unusual JavaScript code.
• generic web: Inspect the Home Feed page source code for any unexpected JavaScript code that might have been injected by an attacker.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-1115 is het upgraden van lollms naar versie 2.2.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om XSS-aanvallen te blokkeren. Configureer de WAF om inputvalidatie uit te voeren en kwaadaardige scripts te filteren voordat ze worden opgeslagen in de database. Daarnaast kan het beperken van de functionaliteit van de social feature tijdelijk het risico verminderen. Na de upgrade, controleer de Home Feed op verdachte scripts om te bevestigen dat de kwetsbaarheid is verholpen.
Werk bij naar versie 2.2.0 of hoger om de XSS kwetsbaarheid te mitigeren. Deze versie corrigeert het gebrek aan sanitatie van gebruikersinvoer in de `create_post` functie, waardoor de injectie van kwaadaardige code in de Home Feed wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1115 is a critical Stored Cross-Site Scripting (XSS) vulnerability in lollms versions up to 2.1.9, allowing attackers to inject malicious JavaScript into the social feature.
If you are running lollms version 2.1.9 or earlier, you are vulnerable to this XSS attack. Upgrade to 2.2.0 or later to mitigate the risk.
The recommended fix is to upgrade lollms to version 2.2.0 or later. As a temporary workaround, implement a WAF rule to filter malicious JavaScript.
While no public exploits have been released, the vulnerability's severity and ease of exploitation suggest a high probability of active exploitation.
Refer to the lollms project's official repository and release notes for the advisory regarding CVE-2026-1115.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.