CVE-2026-12228 in lollmsالمعلومات

الملخص

بحسب VulDB • 18/07/2026

يوجد ثغرة تخزين عبر مواقع متعددة (Stored XSS) في نقطة النهاية `POST /api/prompts/share` الخاصة بـ parisneo/lollms (أحدث إصدار). تقوم نقطة النهاية بتخزين محتوى الأمر (`prompt_content`) الذي يتحكم فيه المهاجم داخل حقل `DBDirectMessage.content` دون تطبيق تنقية من جانب الخادم. عندما يفتح الضيف سلسلة رسائل مباشرة (DM)، يتم عرض الرسالة بواسطة واجهة المستخدم للرسائل المباشرة عبر مكون `MessageContentRenderer`، والذي يستخدم خاصية `v-html` لإدخال HTML مُعالج في DOM. يفشل مرشح الواجهة الأمامية القائم على التعبيرات النمطية (Regex) في تنقية محتوى HTML الذي يتحكم فيه المهاجم بشكل شامل، مما يسمح بتنفيذ حمولات ضارة ضمن سياق متصفح الضحية. تتيح هذه الثغرة لأي مستخدم مصادق عليه إرسال رسالة مشاركة أمر (`prompt-share`) خبيثة إلى صندوق الوارد الخاص بمستخدم آخر، مما يؤدي إلى تنفيذ عشوائي لأكواد JavaScript، وإجراء عمليات مصدقة باسم الضحية، وكشف بيانات التطبيق من نفس المصدر (Same-Origin)، واحتمال الاستيلاء على الحساب.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

@huntr Ai

حجز

14/06/2026

إفشاء

18/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-380097

EPSS

0.00000

KEV

لا

النشاطات

متوسط

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!