Platform
javascript
Component
lollms
Opgelost in
2.2.0
Een Cross-Site Scripting (XSS) kwetsbaarheid is ontdekt in de from_dict methode van de AppLollmsMessage klasse in parisneo/lollms, versies vóór 2.2.0. Deze kwetsbaarheid ontstaat door het ontbreken van sanitatie of HTML-encoding van het content veld bij het deserialiseren van gebruikersinvoer. Het exploiteren van deze kwetsbaarheid kan leiden tot ernstige gevolgen, zoals accountovername. De kwetsbaarheid is verholpen in versie 2.2.0.
Een succesvolle aanval kan een kwaadwillende aanvaller in staat stellen om schadelijke HTML of JavaScript-payloads in te voegen, die vervolgens in de browser van een andere gebruiker worden uitgevoerd. Dit kan leiden tot accountovername, waarbij de aanvaller controle krijgt over het account van het slachtoffer. Daarnaast kan de aanvaller sessie-hijacking uitvoeren, waarbij de sessie van de gebruiker wordt overgenomen, of wormable aanvallen uitvoeren, waarbij de kwetsbaarheid wordt gebruikt om andere systemen binnen het netwerk te infecteren. De impact is aanzienlijk, aangezien XSS-aanvallen vaak moeilijk te detecteren zijn en kunnen leiden tot dataverlies en reputatieschade.
De kwetsbaarheid is publiekelijk bekend gemaakt op 2026-04-12. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag. De CVSS score van 8.2 (HIGH) geeft aan dat de kwetsbaarheid een aanzienlijk risico vormt. Er zijn geen indicaties van actieve campagnes gericht op deze specifieke kwetsbaarheid op het moment van schrijven.
Applications that utilize lollms to process user-generated content or handle sensitive data are at significant risk. This includes web applications, chatbots, and any system where user input is deserialized and displayed without proper sanitization. Developers using older versions of lollms and those who haven't implemented robust input validation routines are particularly vulnerable.
• javascript: Inspect application code for instances where AppLollmsMessage objects are deserialized from user input without proper sanitization. Search for the from_dict method and its usage.
• generic web: Monitor web application logs for suspicious JavaScript execution patterns or unusual HTML content. Look for patterns indicative of XSS payloads.
• generic web: Use browser developer tools to inspect the DOM for unexpected script tags or HTML elements that could indicate XSS exploitation.
disclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 2.2.0 van lollms. Indien een upgrade momenteel niet mogelijk is, overweeg dan om inputvalidatie toe te passen op het content veld om ervoor te zorgen dat alleen veilige data wordt geaccepteerd. Implementeer Content Security Policy (CSP) om de bronnen te beperken waaruit scripts kunnen worden geladen. Monitor de applicatie op verdachte activiteiten en implementeer een Web Application Firewall (WAF) om XSS-aanvallen te detecteren en te blokkeren. Na de upgrade, controleer de applicatielogs op verdachte patronen die wijzen op pogingen tot exploitatie.
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad XSS. Esta actualización incluye la sanitización o codificación HTML adecuada de los datos proporcionados por el usuario en el campo 'content' para prevenir la inyección de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-1116 is a Cross-Site Scripting (XSS) vulnerability in the lollms project, affecting versions before 2.2.0. It allows attackers to inject malicious scripts through the content field during deserialization.
You are affected if you are using lollms version prior to 2.2.0 and have not implemented proper input sanitization.
Upgrade to version 2.2.0 or later of lollms. If upgrading is not possible, implement input validation and output encoding on the content field.
While no public exploits are currently known, the vulnerability's nature suggests it could be exploited, and monitoring is advised.
Refer to the lollms project's official repository or website for the advisory related to CVE-2026-1116.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.