CVE-2026-12228 in lollmsinformazioni

Riassunto

di VulDB • 18/07/2026

È presente una vulnerabilità di cross-site scripting (XSS) memorizzato nell'endpoint `POST /api/prompts/share` di parisneo/lollms (ultima versione). L'endpoint archivia il parametro `prompt_content`, controllato dall'attaccante, in `DBDirectMessage.content` senza alcuna sanificazione lato server. Quando una vittima apre la conversazione del messaggio diretto (DM), il messaggio viene renderizzato dall'interfaccia utente DM tramite `MessageContentRenderer`, che utilizza `v-html` per inserire l'HTML renderizzato nel DOM. Il sanitizer frontend, basato su espressioni regolari, non riesce a sanificare in modo esaustivo l'HTML controllato dall'attaccante, consentendo l'esecuzione di payload dannosi nel contesto del browser della vittima. Questa vulnerabilità consente a qualsiasi utente autenticato di inviare un messaggio di condivisione prompt malevolo all'inbox di un'altra utenza, portando all'esecuzione arbitraria di JavaScript, all'esecuzione di azioni autenticate per conto della vittima, alla esposizione dei dati dell'applicazione nello stesso dominio e al potenziale takeover dell'account.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

@huntr Ai

Prenotare

14/06/2026

Divulgazione

19/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

medio

Fonti

Interested in the pricing of exploits?

See the underground prices here!