W platformie parisneo/lollms wykryto podatność typu Stored Cross-Site Scripting (XSS) w module funkcji społecznościowych. Atakujący bez uwierzytelnienia może wstrzyknąć złośliwy kod JavaScript, który jest następnie wykonywany w przeglądarkach innych użytkowników, w tym administratorów.
▸ Pokaż oryginał (EN)
A Stored Cross-Site Scripting (XSS) vulnerability was identified in the social feature of parisneo/lollms, affecting the latest version prior to 2.2.0. The vulnerability exists in the `create_post` function within `backend/routers/social/__init__.py`, where user-provided content is directly assigned to the `DBPost` model without sanitization. This allows attackers to inject and store malicious JavaScript, which is executed in the browsers of users viewing the Home Feed, including administrators. This can lead to account takeover, session hijacking, and wormable attacks. The issue is resolved in version 2.2.0.
Podatność znajduje się w funkcji `create_post` w pliku `backend/routers/social/__init__.py`. Treść dostarczana przez użytkownika jest przypisywana bezpośrednio do modelu `DBPost` bez żadnej sanityzacji ani walidacji danych wejściowych. Złośliwy payload JavaScript zostaje trwale zapisany w bazie danych i wykonywany w przeglądarce każdego użytkownika przeglądającego główny feed aplikacji. Ze względu na możliwość automatycznego rozprzestrzeniania się ataku, podatność może mieć charakter robaczy (wormable).
Atakujący może doprowadzić do przejęcia kont użytkowników i administratorów (account takeover), kradzieży sesji (session hijacking) oraz wormable attacks, czyli samopropagujących się ataków obejmujących kolejnych użytkowników przeglądających zainfekowane treści.
Należy zaktualizować platformę lollms do wersji 2.2.0, w której problem został rozwiązany. Poprawka dostępna jest w referencjach producenta oraz w commicie 9767b882dbc893c388a286856beeaead69b8292a w repozytorium GitHub.
Wszystkie wersje parisneo/lollms poprzedzające wersję 2.2.0.
Pomimo wektora CVSS wskazującego na wymaganie interakcji użytkownika (UI:R), podatność ma charakter stored XSS z potencjałem wormable — złośliwy kod rozprzestrzenia się automatycznie wśród użytkowników przeglądających feed, co znacząco zwiększa jej praktyczne ryzyko.
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HLollms
APPLollms≤ 2.1.0
Powiązane podatności
Słaby klucz JWT umożliwia privilege escalation w parisneo/lollms
Brak uwierzytelnienia w endpoint /api/files/extract-text w Lollms
Path Traversal w lollms — nieautoryzowany odczyt plików na Windows
A Server-Side Request Forgery (SSRF) vulnerability exists in parisneo/lollms versions prior to 2.2.0, specific...
A critical security vulnerability in parisneo/lollms versions up to 2.2.0 allows any authenticated user to acc...