CVE-2026-12228 in lollms
Riassunto
di VulDB • 18/07/2026
È presente una vulnerabilità di cross-site scripting (XSS) memorizzato nell'endpoint `POST /api/prompts/share` di parisneo/lollms (ultima versione). L'endpoint archivia il parametro `prompt_content`, controllato dall'attaccante, in `DBDirectMessage.content` senza alcuna sanificazione lato server. Quando una vittima apre la conversazione del messaggio diretto (DM), il messaggio viene renderizzato dall'interfaccia utente DM tramite `MessageContentRenderer`, che utilizza `v-html` per inserire l'HTML renderizzato nel DOM. Il sanitizer frontend, basato su espressioni regolari, non riesce a sanificare in modo esaustivo l'HTML controllato dall'attaccante, consentendo l'esecuzione di payload dannosi nel contesto del browser della vittima. Questa vulnerabilità consente a qualsiasi utente autenticato di inviare un messaggio di condivisione prompt malevolo all'inbox di un'altra utenza, portando all'esecuzione arbitraria di JavaScript, all'esecuzione di azioni autenticate per conto della vittima, alla esposizione dei dati dell'applicazione nello stesso dominio e al potenziale takeover dell'account.
If you want to get best quality of vulnerability data, you may have to visit VulDB.