CVE-2026-0562parisneo/lollms 2.2.0之前版本存在严重安全漏洞。由于`backend/routers/friends.py`文件中`respond_request()`函数缺乏适当的授权检查,导致出现不安全的直接对象引用(IDOR)问题。攻击者利用该漏洞,只需经过身份验证即可通过`/api/friends/requests/{friendship_id}`端点,接受或拒绝属于其他用户的好友请求。此行为可导致未授权访问、隐私泄露及潜在的社会工程攻击风险。
该漏洞的核心在于不安全的直接对象引用(IDOR)。在受影响的lollms版本中,处理好友请求的API端点`/api/friends/requests/{friendship_id}`在业务逻辑上存在严重缺陷。虽然系统要求用户进行身份认证(PR:L),但在执行`respond_request()`函数时,服务器仅检查了用户是否已登录,而未严格验证当前发起请求的用户ID是否与数据库中该`friendship_id`对应的接收者ID一致。这意味着,攻击者只需拥有一个普通账号,即可通过遍历、猜测或窃取他人的`friendship_id`,构造恶意HTTP请求(如POST请求)直接调用该接口。攻击者可以随意接受或拒绝他人的好友申请,导致用户关系混乱,进而引发隐私泄露或进行社会工程学攻击,严重威胁系统的完整性与机密性。