CVE-2026-12228 in lollmsinformação

Sumário

de VulDB • 18/07/2026

Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado no endpoint `POST /api/prompts/share` do parisneo/lollms (versão mais recente). O endpoint armazena o conteúdo do prompt controlado pelo atacante (`prompt_content`) em `DBDirectMessage.content` sem sanitização no lado do servidor. Quando uma vítima abre a conversa de mensagem direta (DM), a mensagem é renderizada pela interface da DM através do `MessageContentRenderer`, que utiliza `v-html` para inserir HTML processado no DOM. O sanitizer frontend, baseado em expressões regulares, não consegue sanear completamente o HTML controlado pelo atacante, permitindo que payloads maliciosos sejam executados no contexto do navegador da vítima. Esta vulnerabilidade permite que qualquer usuário autenticado envie uma mensagem de compartilhamento de prompt maliciosa para a caixa de entrada de outro usuário, resultando em execução arbitrária de JavaScript, ações autenticadas como se fosse a vítima, exposição de dados da aplicação na mesma origem e possível comprometimento da conta.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

@huntr Ai

Reservar

14/06/2026

Divulgação

18/07/2026

Moderação

aceite

Entrada

VDB-380097

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

médio

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!