CVE-2026-1115 是 lollms 社交功能中的一个存储型跨站脚本 (XSS) 漏洞。该漏洞允许攻击者将恶意 JavaScript 注入到系统中,并在其他用户浏览主页时执行,从而可能导致严重的后果。该漏洞影响 lollms 版本小于等于 2.1.9 的用户。已发布修复版本 2.2.0。
攻击者可以利用此 XSS 漏洞向 lollms 的社交功能中注入恶意 JavaScript 代码。当其他用户,包括管理员,浏览主页时,这些恶意代码会被执行。这可能导致攻击者窃取用户账户凭据,进行会话劫持,甚至执行更高级的攻击,例如蠕虫传播。攻击者可以利用这些恶意代码来窃取敏感信息,篡改用户数据,或控制整个系统。由于漏洞的严重性,攻击者可能能够完全控制受影响的系统。
CVE-2026-1115 已于 2026 年 4 月 10 日公开披露。目前尚无公开的 PoC 代码,但由于该漏洞的严重性,预计未来可能会出现。该漏洞的 EPSS 评分可能为中等或较高,表明存在被利用的风险。建议密切关注安全社区的动态,及时采取应对措施。
Administrators of lollms instances are particularly at risk due to their elevated privileges. Users who actively participate in the social feature of lollms are also vulnerable, as they may be exposed to malicious JavaScript injected by other users. Shared hosting environments running lollms could be affected if multiple tenants share the same database and one is compromised.
• python / lollms: Examine the backend/routers/social/init.py file for the create_post function and ensure proper sanitization of user input before assigning it to the DBPost model.
• generic web: Monitor access logs for suspicious POST requests to the create_post endpoint containing unusual JavaScript code.
• generic web: Inspect the Home Feed page source code for any unexpected JavaScript code that might have been injected by an attacker.
disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
为了缓解 CVE-2026-1115 的风险,建议立即升级到 lollms 2.2.0 或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:严格审查用户提交的内容,实施输入验证和输出编码,使用 Web 应用防火墙 (WAF) 过滤恶意脚本,并定期扫描系统是否存在可疑活动。升级后,请确认漏洞已修复,可以通过尝试在社交功能中创建包含恶意 JavaScript 代码的帖子,并检查主页是否会执行该代码来验证。
升级到 2.2.0 或更高版本以缓解 XSS 漏洞。此版本修复了 `create_post` 函数中用户输入未经过滤的问题,从而避免了恶意代码注入到主页信息流中。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1115 是 lollms 社交功能中的一个存储型跨站脚本 (XSS) 漏洞,影响版本小于等于 2.1.9。攻击者可以注入恶意 JavaScript 代码,导致用户浏览主页时执行。
如果您正在使用 lollms 的版本小于等于 2.1.9,则可能受到此漏洞的影响。请立即升级到 2.2.0 或更高版本。
最有效的修复方法是升级到 lollms 2.2.0 或更高版本。如果无法立即升级,请实施输入验证和输出编码等临时缓解措施。
虽然目前尚无公开的 PoC 代码,但由于该漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态。
请访问 lollms 官方网站或 GitHub 仓库,查找关于 CVE-2026-1115 的安全公告。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。