CVE-2026-42045 in LobeHub
요약
\~에 의해 VulDB • 2026. 05. 13.
LobeHub는 사용자와 함께 성장하는 에이전트 팀원들을 찾고, 구축하며, 협업할 수 있는 업무 및 라이프스타일 공간입니다. 2.1.48 이전 버전에서 LobeChat은 src/features/Portal/Artifacts/Body/Renderer/index.tsx의 Render 과정에서 사용자 지정 태그를 처리할 때, 일치하는 타입을 찾지 못하면 HTML 렌더링을 위해 기본 메서드인 HTMLRenderer를 호출합니다. 공격자가 LLM을 유도하여 악성 태그를 포함하는 콘텐츠를 출력하도록 하면 클라이언트 측에서 XSS 취약점이 발생할 수 있습니다. 또한, Lobechat의 Electron 메인 프로세스는 시스템 명령을 호출하는 데 사용되는 runCommand라는 IPC 인터페이스를 노출합니다. 이 인터페이스는 임의의 명령 실행을 허용하며 명령 매개변수를 필터링하지 않습니다. 따라서 공격자가 XSS를 통해 window.parent.electronAPI에 대한 핸들을 획득하고 IPC의 runCommand 메서드를 호출할 경우, ipcMain 프로세스는 현재 사용자의 권한으로 임의의 시스템 명령을 실행할 수 있습니다. 이 취약점은 2.1.48에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.