Platform
nodejs
Component
@lobehub/lobehub
Opgelost in
2.1.49
2.1.48
CVE-2026-39411 beschrijft een authenticatie bypass kwetsbaarheid in de @lobehub/lobehub Node.js bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om de authenticatie te omzeilen door een client-gecontroleerde X-lobe-chat-auth header te vervalsen. De kwetsbaarheid treft versies van @lobehub/lobehub die eerder dan 2.1.48 zijn uitgebracht. Een update naar versie 2.1.48 of hoger is vereist om de kwetsbaarheid te verhelpen.
De authenticatie bypass kwetsbaarheid in @lobehub/lobehub stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot gevoelige webapi-routes. Dit omvat routes voor het beheren van chatproviders (/webapi/chat/[provider]), het ophalen van modellen (/webapi/models/[provider]), het pullen van modellen (/webapi/models/[provider]/pull) en het genereren van afbeeldingen met ComfyUI (/webapi/create-image/comfyui). Een succesvolle exploitatie kan leiden tot ongeautoriseerde toegang tot modelgegevens, configuratie-instellingen en mogelijk de mogelijkheid om de applicatie te misbruiken voor kwaadaardige doeleinden. Omdat de XOR-sleutel hardcoded is, is het relatief eenvoudig om de header te vervalsen.
Op het moment van publicatie (2026-04-08) is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-39411. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV-catalogus (KEV status onbekend). De relatieve eenvoud van de exploitatie, gezien de hardcoded XOR-sleutel, suggereert een potentieel risico voor misbruik.
Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @lobehub/lobehub• nodejs / server:
npm audit @lobehub/lobehub• generic web:
Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.
disclosure
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-39411 is het upgraden van @lobehub/lobehub naar versie 2.1.48 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) om verdachte X-lobe-chat-auth headers te blokkeren. Controleer ook de toegangscontrolelijsten (ACL's) op de webapi-routes om te zorgen voor een minimale privilege-aanpak. Na de upgrade, verifieer de fix door te proberen de X-lobe-chat-auth header te vervalsen en te controleren of de authenticatie correct functioneert.
Werk LobeHub bij naar versie 2.1.48 of hoger om de kwetsbaarheid te mitigeren. Deze update corrigeert de manier waarop authenticatie wordt afgehandeld, waardoor de mogelijkheid om autorisatieheaders te vervalsen en toegang te krijgen tot beschermde routes zonder authenticatie wordt geëlimineerd.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39411 is een kwetsbaarheid waarbij de authenticatie in @lobehub/lobehub kan worden omzeild door een vervalste X-lobe-chat-auth header te gebruiken, vanwege een hardcoded XOR-sleutel.
Ja, als u een versie van @lobehub/lobehub gebruikt die eerder dan 2.1.48 is uitgebracht, bent u getroffen door deze kwetsbaarheid.
Upgrade @lobehub/lobehub naar versie 2.1.48 of hoger om de kwetsbaarheid te verhelpen. Overweeg tijdelijke mitigaties zoals een WAF.
Op het moment van publicatie is er geen informatie beschikbaar over actieve exploitatie van CVE-2026-39411.
Raadpleeg de officiële LobeHub documentatie en GitHub repository voor updates en advisories met betrekking tot CVE-2026-39411.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.