CVE-2026-12228 in lollmsinfo

Zusammenfassung

von VulDB • 18.07.2026

In der `POST /api/prompts/share`-Endpunkt von parisneo/lollms (aktuelle Version) besteht eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle. Der Endpunkt speichert angriffskontrollierte `prompt_content` in `DBDirectMessage.content`, ohne dass eine serverseitige Bereinigung erfolgt. Wenn ein Opfer den Direktnachrichten-Durchlauf (DM) öffnet, wird die Nachricht von der DM-Benutzeroberfläche über `MessageContentRenderer` gerendert, das `v-html` verwendet, um gerendertes HTML in das DOM einzufügen. Der Frontend-Sanitizer, der auf Regex basiert, bereinigt angriffskontrolliertes HTML nicht umfassend genug, sodass bösartige Payloads im Browserkontext des Opfers ausgeführt werden können. Diese Schwachstelle ermöglicht es jedem authentifizierten Benutzer, eine böswillige Prompt-Share-Nachricht in den Posteingang eines anderen Benutzers zu senden, was zur beliebigen JavaScript-Ausführung, durchgeführten Aktionen als das Opfer, Offenlegung von Same-Origin-Anwendungsdaten und potenzieller Übernahme des Kontos führt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

@huntr Ai

Reservieren

14.06.2026

Veröffentlichung

19.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380097

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

medium

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!