Plataforma
javascript
Componente
lollms
Corrigido em
2.2.0
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no método from_dict da classe AppLollmsMessage em parisneo/lollms, afetando versões não especificadas até 2.2.0. A falha ocorre devido à falta de sanitização ou codificação HTML do campo content ao deserializar dados fornecidos pelo usuário. Isso permite que um atacante injete payloads HTML ou JavaScript maliciosos, que podem ser executados no contexto do navegador de outro usuário.
A exploração bem-sucedida desta vulnerabilidade XSS pode ter consequências graves. Um atacante pode injetar scripts maliciosos que são executados no navegador de usuários legítimos, permitindo o roubo de cookies de sessão, redirecionamento para sites maliciosos ou a execução de ações em nome do usuário afetado. Em cenários mais avançados, a vulnerabilidade pode ser explorada para realizar ataques wormable, propagando o código malicioso para outros usuários que interagem com a aplicação. A ausência de sanitização adequada do campo content torna a aplicação suscetível a ataques de injeção de script, comprometendo a segurança e a integridade dos dados dos usuários.
A vulnerabilidade foi divulgada em 2026-04-12. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. Dada a natureza da vulnerabilidade XSS, é provável que a exploração seja relativamente simples, especialmente se a aplicação não implementar outras medidas de segurança. A ausência de um exploit público não significa que a vulnerabilidade não possa ser explorada.
Applications that utilize lollms to process user-generated content or handle sensitive data are at significant risk. This includes web applications, chatbots, and any system where user input is deserialized and displayed without proper sanitization. Developers using older versions of lollms and those who haven't implemented robust input validation routines are particularly vulnerable.
• javascript: Inspect application code for instances where AppLollmsMessage objects are deserialized from user input without proper sanitization. Search for the from_dict method and its usage.
• generic web: Monitor web application logs for suspicious JavaScript execution patterns or unusual HTML content. Look for patterns indicative of XSS payloads.
• generic web: Use browser developer tools to inspect the DOM for unexpected script tags or HTML elements that could indicate XSS exploitation.
disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar para a versão 2.2.0 do lollms, que inclui a correção necessária. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como a sanitização rigorosa de todos os dados fornecidos pelo usuário antes de serem exibidos na interface. Utilize bibliotecas de codificação HTML confiáveis para garantir que os dados sejam renderizados de forma segura. Considere a implementação de um Web Application Firewall (WAF) com regras específicas para detectar e bloquear tentativas de injeção de script. Após a atualização, confirme a correção verificando se o campo content está sendo devidamente sanitizado e codificado.
Actualice a la versión 2.2.0 o posterior para mitigar la vulnerabilidad XSS. Esta actualización incluye la sanitización o codificación HTML adecuada de los datos proporcionados por el usuario en el campo 'content' para prevenir la inyección de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-1116 is a Cross-Site Scripting (XSS) vulnerability in the lollms project, affecting versions before 2.2.0. It allows attackers to inject malicious scripts through the content field during deserialization.
You are affected if you are using lollms version prior to 2.2.0 and have not implemented proper input sanitization.
Upgrade to version 2.2.0 or later of lollms. If upgrading is not possible, implement input validation and output encoding on the content field.
While no public exploits are currently known, the vulnerability's nature suggests it could be exploited, and monitoring is advised.
Refer to the lollms project's official repository or website for the advisory related to CVE-2026-1116.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.