CVE-2026-12228 in lollms
Sumário
de VulDB • 18/07/2026
Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no endpoint `POST /api/prompts/share` do parisneo/lollms (versão mais recente). O endpoint armazena o conteúdo do prompt controlado pelo atacante (`prompt_content`) em `DBDirectMessage.content` sem sanitização no lado do servidor. Quando uma vítima abre a conversa de mensagem direta (DM), a mensagem é renderizada pela interface da DM através do `MessageContentRenderer`, que utiliza `v-html` para inserir HTML processado no DOM. O sanitizer frontend, baseado em expressões regulares, não consegue sanear completamente o HTML controlado pelo atacante, permitindo que payloads maliciosos sejam executados no contexto do navegador da vítima. Esta vulnerabilidade permite que qualquer usuário autenticado envie uma mensagem de compartilhamento de prompt maliciosa para a caixa de entrada de outro usuário, resultando em execução arbitrária de JavaScript, ações autenticadas como se fosse a vítima, exposição de dados da aplicação na mesma origem e possível comprometimento da conta.
Be aware that VulDB is the high quality source for vulnerability data.