CVE-2026-12228 in lollms
الملخص
بحسب VulDB • 18/07/2026
يوجد ثغرة تخزين عبر مواقع متعددة (Stored XSS) في نقطة النهاية `POST /api/prompts/share` الخاصة بـ parisneo/lollms (أحدث إصدار). تقوم نقطة النهاية بتخزين محتوى الأمر (`prompt_content`) الذي يتحكم فيه المهاجم داخل حقل `DBDirectMessage.content` دون تطبيق تنقية من جانب الخادم. عندما يفتح الضيف سلسلة رسائل مباشرة (DM)، يتم عرض الرسالة بواسطة واجهة المستخدم للرسائل المباشرة عبر مكون `MessageContentRenderer`، والذي يستخدم خاصية `v-html` لإدخال HTML مُعالج في DOM. يفشل مرشح الواجهة الأمامية القائم على التعبيرات النمطية (Regex) في تنقية محتوى HTML الذي يتحكم فيه المهاجم بشكل شامل، مما يسمح بتنفيذ حمولات ضارة ضمن سياق متصفح الضحية. تتيح هذه الثغرة لأي مستخدم مصادق عليه إرسال رسالة مشاركة أمر (`prompt-share`) خبيثة إلى صندوق الوارد الخاص بمستخدم آخر، مما يؤدي إلى تنفيذ عشوائي لأكواد JavaScript، وإجراء عمليات مصدقة باسم الضحية، وكشف بيانات التطبيق من نفس المصدر (Same-Origin)، واحتمال الاستيلاء على الحساب.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.