Plataforma
nodejs
Componente
@lobehub/lobehub
Corrigido em
2.1.49
2.1.48
A vulnerabilidade CVE-2026-39411 é uma falha de bypass de autenticação identificada no pacote Node.js @lobehub/lobehub. Um atacante pode falsificar payloads de autenticação, contornando a proteção em rotas webapi protegidas. Essa falha afeta versões anteriores a 2.1.48 e pode permitir acesso não autorizado a recursos sensíveis. A correção foi lançada na versão 2.1.48.
A principal consequência dessa vulnerabilidade é a possibilidade de um atacante obter acesso não autorizado a diversas rotas webapi protegidas dentro do @lobehub/lobehub. Rotas como POST /webapi/chat/[provider], GET /webapi/models/[provider], POST /webapi/models/[provider]/pull e POST /webapi/create-image/comfyui estão vulneráveis. O atacante pode, por exemplo, extrair modelos de linguagem, iniciar a criação de imagens sem autorização ou modificar configurações do sistema. A ausência de assinatura ou autenticação adequada no cabeçalho X-lobe-chat-auth torna possível a falsificação, já que a chave XOR utilizada para ofuscação é estática e conhecida. Isso representa um risco significativo para a confidencialidade e integridade dos dados e sistemas que utilizam o @lobehub/lobehub.
A vulnerabilidade foi divulgada em 8 de abril de 2026. Não há informações disponíveis sobre a adição a KEV (CISA KEV catalog) ou sobre a existência de exploits públicos. A facilidade de exploração devido à chave XOR estática sugere um risco potencial, mas a ausência de relatos de exploração ativa indica um risco moderado no momento. É recomendável monitorar a situação e implementar as medidas de mitigação recomendadas.
Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @lobehub/lobehub• nodejs / server:
npm audit @lobehub/lobehub• generic web:
Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.
disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-39411 é a atualização imediata para a versão 2.1.48 ou superior do pacote @lobehub/lobehub. Caso a atualização cause interrupções, considere um rollback para uma versão anterior conhecida por ser segura, se disponível. Como medida temporária, implemente regras em um Web Application Firewall (WAF) ou proxy reverso para validar e autenticar o cabeçalho X-lobe-chat-auth, rejeitando requisições com payloads suspeitos. Monitore logs de acesso em busca de requisições com cabeçalhos de autenticação incomuns ou tentativas de acesso não autorizado às rotas webapi vulneráveis. Não há assinaturas Sigma ou YARA padrões disponíveis no momento, mas a análise do tráfego de rede pode revelar padrões de ataque.
Atualize o LobeHub para a versão 2.1.48 ou posterior para mitigar a vulnerabilidade. Esta atualização corrige a forma como a autenticação é tratada, eliminando a possibilidade de falsificar cabeçalhos de autorização e acessar rotas protegidas sem autenticação.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39411 é uma falha de bypass de autenticação no pacote Node.js @lobehub/lobehub, permitindo que atacantes falsifiquem payloads de autenticação e acessem rotas webapi protegidas.
Sim, se você estiver utilizando uma versão do @lobehub/lobehub anterior a 2.1.48, você está vulnerável a essa falha de autenticação.
Atualize o pacote @lobehub/lobehub para a versão 2.1.48 ou superior. Implemente regras de WAF/proxy como medida temporária.
Atualmente, não há relatos de exploração ativa, mas a facilidade de exploração sugere um risco potencial.
Consulte o repositório oficial do @lobehub/lobehub no GitHub ou a documentação do projeto para obter informações sobre a correção e o advisory.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.