CVE-2026-12228 in lollmsinformación

Resumen

por VulDB • 2026-07-18

Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en el endpoint `POST /api/prompts/share` de parisneo/lollms (última versión). El endpoint almacena `prompt_content`, controlado por el atacante, dentro de `DBDirectMessage.content` sin realizar ninguna sanitización del lado del servidor. Cuando una víctima abre la conversación del mensaje directo (DM), este se renderiza en la interfaz de usuario mediante `MessageContentRenderer`, que utiliza `v-html` para insertar HTML procesado directamente en el DOM. El sanitizer del frontend, basado en expresiones regulares, no logra sanitizar exhaustivamente el HTML controlado por el atacante, lo que permite la ejecución de payloads maliciosos dentro del contexto del navegador de la víctima. Esta vulnerabilidad permite a cualquier usuario autenticado enviar un mensaje compartido con una instrucción (prompt) maliciosa a la bandeja de entrada de otro usuario, provocando la ejecución arbitraria de JavaScript, acciones autenticadas en nombre de la víctima, exposición de datos de aplicaciones bajo el mismo origen y posible toma de cuentas.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

@huntr Ai

Reservar

2026-06-14

Divulgación

2026-07-18

Moderación

aceptado

Artículo

VDB-380097

CPE

listo

EPSS

0.00000

KEV

no

Actividades

medio

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!