平台
nodejs
组件
@lobehub/lobehub
修复版本
2.1.49
2.1.48
CVE-2026-39411 是 @lobehub/lobehub 中的身份验证绕过漏洞。由于 webapi 身份验证层信任客户端控制的 X-lobe-chat-auth 头,且该头仅进行 XOR 混淆,而非签名或进行其他身份验证,攻击者可以伪造任意身份验证负载并绕过身份验证。此漏洞影响 @lobehub/lobehub 的 2.1.48 之前的版本,建议尽快升级。
此漏洞允许攻击者绕过身份验证机制,未经授权访问受保护的 webapi 路由。受影响的路由包括 POST /webapi/chat/[provider]、GET /webapi/models/[provider]、POST /webapi/models/[provider]/pull 和 POST /webapi/create-image/comfyui。攻击者可以利用此漏洞获取模型信息、拉取模型、甚至创建图像,从而可能导致数据泄露、服务中断或未经授权的资源利用。由于 XOR 密钥是硬编码在代码库中,攻击者可以轻松地构造恶意负载。
目前,该漏洞尚未被广泛利用,但由于其易于利用,且存在公开可用的信息,因此存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其潜在影响较高。建议密切监控系统日志,以检测任何异常活动。
Applications and services utilizing the @lobehub/lobehub library in their authentication flow are at risk. This includes projects that rely on the library for managing chat interactions, model access, and image creation. Shared hosting environments where multiple applications share the same @lobehub/lobehub installation are particularly vulnerable, as a compromise in one application could potentially affect others.
• nodejs / server:
npm list @lobehub/lobehub• nodejs / server:
npm audit @lobehub/lobehub• generic web:
Inspect HTTP requests for the X-lobe-chat-auth header. Look for unusual or unexpected values. Check access logs for requests to /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull, and /webapi/create-image/comfyui with potentially forged authentication headers.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
最有效的缓解措施是立即将 @lobehub/lobehub 升级至 2.1.48 或更高版本。如果升级会导致兼容性问题,可以考虑在反向代理或 Web 应用防火墙 (WAF) 中实施规则,以验证 X-lobe-chat-auth 头的完整性。具体来说,可以阻止任何不符合预期格式的 X-lobe-chat-auth 头。此外,审查应用程序代码,确保所有对 webapi 的请求都经过适当的身份验证和授权。
将 LobeHub 更新到 2.1.48 或更高版本以缓解漏洞。此更新修复了身份验证处理方式,消除了伪造授权头并访问受保护路由而无需身份验证的可能性。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-39411 是 @lobehub/lobehub 中的一个身份验证绕过漏洞,攻击者可以伪造 X-lobe-chat-auth 头绕过身份验证。
如果您正在使用 @lobehub/lobehub 2.1.48 之前的版本,则可能受到影响。请立即升级。
将 @lobehub/lobehub 升级至 2.1.48 或更高版本。
目前尚未确认有大规模利用,但由于漏洞易于利用,存在被利用的风险。
请访问 @lobehub/lobehub 的官方 GitHub 仓库或相关安全公告获取更多信息。
CVSS 向量