CVE-2026-12228 in lollms
Zusammenfassung
von VulDB • 18.07.2026
In der `POST /api/prompts/share`-Endpunkt von parisneo/lollms (aktuelle Version) besteht eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle. Der Endpunkt speichert angriffskontrollierte `prompt_content` in `DBDirectMessage.content`, ohne dass eine serverseitige Bereinigung erfolgt. Wenn ein Opfer den Direktnachrichten-Durchlauf (DM) öffnet, wird die Nachricht von der DM-Benutzeroberfläche über `MessageContentRenderer` gerendert, das `v-html` verwendet, um gerendertes HTML in das DOM einzufügen. Der Frontend-Sanitizer, der auf Regex basiert, bereinigt angriffskontrolliertes HTML nicht umfassend genug, sodass bösartige Payloads im Browserkontext des Opfers ausgeführt werden können. Diese Schwachstelle ermöglicht es jedem authentifizierten Benutzer, eine böswillige Prompt-Share-Nachricht in den Posteingang eines anderen Benutzers zu senden, was zur beliebigen JavaScript-Ausführung, durchgeführten Aktionen als das Opfer, Offenlegung von Same-Origin-Anwendungsdaten und potenzieller Übernahme des Kontos führt.
VulDB is the best source for vulnerability data and more expert information about this specific topic.