Plataforma
python
Componente
lollms
Corrigido em
2.2.0
2.2.0
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no recurso social do lollms, da parisneo, afetando versões anteriores à 2.2.0. A falha reside na função create_post, onde o conteúdo fornecido pelo usuário é atribuído diretamente ao modelo DBPost sem sanitização. Isso permite que atacantes injetem e armazenem JavaScript malicioso, executado nos navegadores dos usuários que visualizam o Feed Principal, incluindo administradores.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no recurso social do lollms. Ao armazenar esses scripts, o atacante pode comprometer a segurança de todos os usuários que visualizam o Feed Principal, incluindo administradores. O impacto potencial inclui roubo de contas, hijacking de sessão e ataques wormáveis, onde o script malicioso se propaga para outros usuários. A falta de sanitização adequada do conteúdo do usuário torna essa vulnerabilidade particularmente perigosa, permitindo a execução de código arbitrário no contexto do navegador da vítima.
Esta vulnerabilidade foi publicada em 2026-04-10. Não há informações disponíveis sobre exploração ativa ou a inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de uma prova de conceito (PoC) pública é desconhecida, mas a natureza da vulnerabilidade XSS sugere que uma PoC pode ser desenvolvida rapidamente.
Administrators of lollms instances are particularly at risk due to their elevated privileges. Users who actively participate in the social feature of lollms are also vulnerable, as they may be exposed to malicious JavaScript injected by other users. Shared hosting environments running lollms could be affected if multiple tenants share the same database and one is compromised.
• python / lollms: Examine the backend/routers/social/init.py file for the create_post function and ensure proper sanitization of user input before assigning it to the DBPost model.
• generic web: Monitor access logs for suspicious POST requests to the create_post endpoint containing unusual JavaScript code.
• generic web: Inspect the Home Feed page source code for any unexpected JavaScript code that might have been injected by an attacker.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o lollms para a versão 2.2.0 ou superior, que corrige a falha de sanitização. Enquanto a atualização não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosa de todas as entradas do usuário no lado do servidor. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de script.
Atualize para a versão 2.2.0 ou posterior para mitigar a vulnerabilidade de XSS. Esta versão corrige a falta de sanitização da entrada do usuário na função `create_post`, evitando a injeção de código malicioso no feed de início.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada no recurso social do lollms, permitindo a injeção de JavaScript malicioso em versões anteriores à 2.2.0.
Sim, se você estiver usando uma versão do lollms anterior a 2.2.0, você está vulnerável a essa falha de XSS.
Atualize o lollms para a versão 2.2.0 ou superior para corrigir a vulnerabilidade. Implemente medidas de proteção adicionais, como WAF, enquanto a atualização não for possível.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a natureza da vulnerabilidade XSS sugere que pode ser explorada.
Consulte o site oficial do lollms ou o repositório GitHub da parisneo para obter o advisory de segurança correspondente.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.