Plataforma
python
Componente
parisneo/lollms
Corrigido em
2.2.0
A vulnerabilidade CVE-2026-0562 é uma falha de segurança crítica do tipo Insecure Direct Object Reference (IDOR) presente no lollms, versões até 2.2.0. Ela permite que qualquer usuário autenticado aceite ou rejeite solicitações de amizade pertencentes a outros usuários, devido à falta de verificações de autorização adequadas. Isso pode levar a acesso não autorizado, violações de privacidade e potenciais explorações adicionais. A vulnerabilidade foi corrigida na versão 2.2.0.
Uma vulnerabilidade crítica foi descoberta no parisneo/lollms, afetando versões até a 2.2.0. Essa falha de segurança, classificada com um CVSS de 8.3, permite que usuários autenticados aceitem ou rejeitem solicitações de amizade que não lhes pertencem. A função respondrequest() em backend/routers/friends.py carece de controles de autorização adequados, facilitando ataques de Insecure Direct Object Reference (IDOR). Um atacante pode manipular a URL /api/friends/requests/{friendshipid} para agir em nome de outros usuários, comprometendo a privacidade e a segurança das relações dentro da aplicação. A falta de verificação da pertinência à relação ou à identidade do destinatário permite essa manipulação. É altamente recomendável atualizar para a versão 2.2.0 ou superior para mitigar este risco.
Um atacante autenticado na aplicação parisneo/lollms pode explorar esta vulnerabilidade conhecendo o friendshipid de uma solicitação de amizade. Ao acessar /api/friends/requests/{friendshipid} com uma solicitação HTTP (geralmente POST ou PUT), o atacante pode aceitar ou rejeitar a solicitação em nome do destinatário, sem a necessidade de ter autorização para tal. A facilidade de exploração reside na ausência de validação da identidade do usuário que realiza a ação, permitindo que qualquer usuário autenticado afete as relações de outros. Esta vulnerabilidade poderia ser utilizada para danificar a reputação de um usuário, manipular as interações sociais dentro da aplicação ou até mesmo obter acesso a informações confidenciais associadas às relações.
Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.
• python / lollms:
# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip()
if version <= '2.2.0':
print('Vulnerable version detected!')• generic web:
curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'• generic web:
# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 2.2.0 ou superior do parisneo/lollms. Esta versão corrige a falha de autorização na função respondrequest(), implementando verificações adequadas para garantir que apenas os usuários autorizados possam interagir com as solicitações de amizade. Enquanto isso, como medida temporária, recomenda-se restringir o acesso ao endpoint /api/friends/requests/{friendshipid} a usuários com privilégios elevados ou implementar um sistema de auditoria para detectar e prevenir tentativas de manipulação. É crucial revisar e fortalecer os controles de acesso em todas as funções que lidam com dados sensíveis, especialmente aquelas que envolvem relações entre usuários.
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad IDOR. Esta versión implementa las verificaciones de autorización necesarias para prevenir el acceso no autorizado a las solicitudes de amistad de otros usuarios.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um ataque IDOR (Insecure Direct Object Reference) ocorre quando uma aplicação expõe um objeto interno (como uma solicitação de amizade) através de um identificador previsível ou manipulável, sem verificar se o usuário atual tem permissão para acessar esse objeto.
Se você estiver utilizando uma versão do parisneo/lollms anterior à 2.2.0, é provável que esteja afetado. Verifique seu arquivo requirements.txt ou package.json para identificar a versão instalada.
Como medida temporária, restrinja o acesso ao endpoint /api/friends/requests/{friendship_id} ou implemente um sistema de auditoria para detectar tentativas de manipulação.
Existem ferramentas de análise de segurança estática e dinâmica que podem ajudar a identificar vulnerabilidades IDOR. Considere utilizar essas ferramentas como parte do seu processo de desenvolvimento.
Você pode encontrar mais informações sobre CVE-2026-0562 em bases de dados de vulnerabilidades como o National Vulnerability Database (NVD) e no repositório do parisneo/lollms.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.