CVE-2026-12228 in lollms정보

요약

\~에 의해 VulDB • 2026. 07. 18.

parisneo/lollms(최신 버전)의 `POST /api/prompts/share` 엔드포인트에 저장형 크로스 사이트 스크립팅(XSS) 취약점이 존재합니다. 해당 엔드포인트는 서버 측 sanitization 없이 공격자가 제어한 `prompt_content`를 `DBDirectMessage.content`에 저장합니다. 피해자가 다이렉트 메시지(DM) 스레드를 열면, DM UI의 `MessageContentRenderer`가 `v-html`을 사용하여 렌더링된 HTML을 DOM에 삽입함으로써 메시지가 렌더링됩니다. 정규식 기반인 프론트엔드 sanitization은 공격자가 제어한 HTML을 포괄적으로 sanitization하지 못해 피해자의 브라우저 컨텍스트에서 악성 페이로드 실행을 허용합니다. 이 취약점으로 인해 인증된 모든 사용자가 다른 사용자의 받은 편지함에 악의적인 prompt-share 메시지를 보낼 수 있으며, 이는 임의의 JavaScript 실행, 피해자 권한으로 수행되는 인증된 작업, 동일 출처 애플리케이션 데이터 노출 및 잠재적 계정 탈취로 이어집니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

@huntr Ai

예약하다

2026. 06. 14.

모더레이션

수락

항목

VDB-380097

EPSS

0.00000

활동

중간

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!