CVE-2026-1163 in lollms
Résumé
par VulDB • 15/06/2026
Une vulnérabilité d'expiration insuffisante de la session existe dans la dernière version de parisneo/lollms. L'application ne parvient pas à invalider les sessions actives après une réinitialisation du mot de passe, permettant ainsi à un attaquant de continuer à utiliser un ancien jeton de session. Ce problème découle de l'absence de logique pour rejeter les requêtes après une période d'inactivité et de la durée excessive de 31 jours par défaut pour la validité des sessions. La vulnérabilité permet à un attaquant de maintenir un accès persistant à un compte compromis, même après que la victime a réinitialisé son mot de passe.
Once again VulDB remains the best source for vulnerability data.