HIGHCVE-2026-0562CVSS 8.3

CVE-2026-0562 lollms IDOR 漏洞，影响版本 2.2.0 及以下

Q: parisneo/lollms 中的 CVE-2026-0562 是否会影响我？

如果您使用的是 parisneo/lollms 的 2.2.0 之前的版本，则很可能受到影响。请检查您的 `requirements.txt` 或 `package.json` 文件以识别已安装的版本。

Q: 如何修复 parisneo/lollms 中的 CVE-2026-0562？

作为一项临时措施，请限制对 `/api/friends/requests/{friendship_id}` 端点的访问，或实施审计系统以检测操纵尝试。

平台

python

组件

parisneo/lollms

修复版本

2.2.0

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-0562 是 lollms 中存在的一个不安全直接对象引用 (IDOR) 漏洞，允许任何已认证的用户接受或拒绝其他用户的交友请求。该漏洞可能导致未经授权的访问和隐私泄露。受影响的版本为 2.2.0 及以下版本。该漏洞已在 2.2.0 版本中得到修复。

影响与攻击场景

在 parisneo/lollms 的版本高达 2.2.0 之前发现了一个关键的安全漏洞。此漏洞的 CVSS 评分为 8.3，允许经过身份验证的用户接受或拒绝其他用户的友谊请求。backend/routers/friends.py 中的 respondrequest() 函数缺少适当的授权检查，从而允许发生不安全的直接对象引用 (IDOR) 攻击。攻击者可以操纵 /api/friends/requests/{friendshipid} 端点代表其他用户执行操作，从而危及应用程序中关系中的隐私和安全。未能验证关系成员身份或接收者的身份使得这种操作成为可能。强烈建议升级到 2.2.0 或更高版本以减轻此风险。

利用背景

parisneo/lollms 应用程序中的经过身份验证的攻击者可以通过知道友谊请求的 friendshipid 来利用此漏洞。通过 HTTP 请求（通常是 POST 或 PUT）访问 /api/friends/requests/{friendshipid}，攻击者可以代表接收者接受或拒绝请求，而无需授权。易于利用的原因在于没有验证执行操作的用户身份，这使得任何经过身份验证的用户都可以影响其他用户之间的关系。此漏洞可用于损害用户的声誉、操纵应用程序中的社交互动，或访问与关系相关的机密信息。

哪些人处于风险中翻译中…

Applications utilizing parisneo/lollms in their backend and exposing friend request functionality are at risk. This includes social networking platforms, collaborative tools, or any application where users manage connections with others. Specifically, deployments using older versions of lollms (0.0.0–2.2.0) are highly vulnerable.

检测步骤翻译中…

• python / lollms:

# Check for vulnerable versions
import subprocess
result = subprocess.run(['pip', 'show', 'parisneo-lollms'], capture_output=True, text=True)
if 'Version:' in result.stdout:
    version = result.stdout.split('Version:')[1].strip()
    if version <= '2.2.0':
        print('Vulnerable version detected!')

• generic web:

curl -I https://your-lollms-instance.com/api/friends/requests/123 | grep -i 'WWW-Authenticate'

• generic web:

# Check access logs for suspicious requests to /api/friends/requests/{friendship_id} from different user IDs
grep '/api/friends/requests/[0-9]+' /var/log/nginx/access.log | grep 'user_id=[0-9]+'

攻击时间线

2026-03-29Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件parisneo/lollms

供应商parisneo

影响范围修复版本

unspecified – 2.2.02.2.0

弱点分类 (CWE)

CWE-863

时间线

已保留2026-01-01
发布日期2026-03-29
修改日期2026-04-22
EPSS 更新日期2026-04-06

缓解措施和替代方案

此漏洞的解决方案是升级到 parisneo/lollms 的 2.2.0 或更高版本。此版本通过实施适当的检查来纠正 respondrequest() 函数中的授权缺陷，以确保只有授权用户才能与友谊请求进行交互。作为一项临时措施，请限制对 /api/friends/requests/{friendshipid} 端点的访问权限，或为具有提升的权限的用户，或实施审计系统以检测和防止操纵尝试。对于处理敏感数据的所有函数，尤其是涉及用户关系的功能，审查和加强访问控制至关重要。

修复方法

将 lollms 安装更新到 2.2.0 或更高版本。 此版本包含对 `backend/routers/friends.py` 文件中 `respond_request()` 函数的 IDOR 漏洞的修复。 更新将阻止经过身份验证的用户接受或拒绝其他用户的好友请求。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-0562 是什么 — parisneo/lollms 中的漏洞？

当应用程序通过可预测或可操作的标识符公开内部对象（例如友谊请求），而没有验证当前用户是否有权访问该对象时，会发生 IDOR（不安全的直接对象引用）攻击。

parisneo/lollms 中的 CVE-2026-0562 是否会影响我？

如果您使用的是 parisneo/lollms 的 2.2.0 之前的版本，则很可能受到影响。请检查您的 requirements.txt 或 package.json 文件以识别已安装的版本。

如何修复 parisneo/lollms 中的 CVE-2026-0562？

作为一项临时措施，请限制对 /api/friends/requests/{friendship_id} 端点的访问，或实施审计系统以检测操纵尝试。

CVE-2026-0562 是否正在被积极利用？

静态和动态安全分析工具可以帮助识别 IDOR 漏洞。请考虑将这些工具作为开发过程的一部分使用。

在哪里可以找到 parisneo/lollms 关于 CVE-2026-0562 的官方安全通告？

您可以在诸如国家漏洞数据库 (NVD) 之类的漏洞数据库以及 parisneo/lollms 存储库中找到有关 CVE-2026-0562 的更多信息。