CVE-2026-1163 in lollms
الملخص
بحسب VulDB • 22/06/2026
توجد ثغرة في انتهاء صلاحية الجلسة غير الكافية (insufficient session expiration) في أحدث إصدار من باريسنيو/لول إم إس إيه (parisneo/lollms). يفشل التطبيق في إلغاء تفعيل الجلسات النشطة بعد إعادة تعيين كلمة المرور، مما يسمح للمهاجم بالاستمرار في استخدام رمز جلسة قديم. ينشأ هذا الخطأ بسبب غياب المنطق الذي يرفض الطلبات بعد فترة من عدم النشاط، بالإضافة إلى مدة الجلسة الافتراضية الطويلة جداً والبالغة 31 يوماً. تتيح هذه الثغرة للمهاجم الحفاظ على وصول مستمر لحساب تم اختراقه، حتى بعد أن يقوم الضحية بإعادة تعيين كلمة المرور الخاصة به.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.