CVE-2026-12228 in lollms情報

要約

〜によって VulDB • 2026年07月18日

`parisneo/lollms`(最新バージョン)の `POST /api/prompts/share` エンドポイントに、保存型クロスサイトスクリプティング (XSS) の脆弱性が存在します。このエンドポイントは、サーバーサイドでのサニタイズ処理を行わずに、攻撃者が制御可能な `prompt_content` を `DBDirectMessage.content` に格納します。被害者がダイレクトメッセージ (DM) スレッドを開くと、DM UI 内の `MessageContentRenderer` がメッセージをレンダリングし、`v-html` を使用して HTML のレンダリング結果を DOM に挿入します。フロントエンドのサニタイザーは正規表現ベースであり、攻撃者が制御可能な HTML を包括的にサニタイズできないため、悪意のあるペイロードが被害者のブラウザコンテキスト内で実行されます。この脆弱性により、認証済みユーザーであれば誰でも他のユーザーの受信トレiboxに悪意あるプロンプト共有メッセージを送信でき、任意の JavaScript の実行、被害者になりすました認証済みのアクションの実行、同一オリジンアプリケーションデータの漏洩、さらにはアカウント乗っ取りにつながる可能性があります。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

@huntr Ai

予約する

2026年06月14日

モデレーション

承諾済み

エントリ

VDB-380097

EPSS

0.00000

アクティビティ

中間

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!