CVE-2026-1116CVE-2026-1116是parisneo/lollms组件中的一个安全漏洞。该漏洞源于`AppLollmsMessage`类的`from_dict`方法在处理用户提供的反序列化数据时,未对`content`字段进行有效的清理或HTML编码。攻击者可利用此缺陷注入恶意HTML或JavaScript代码,并在受害者的浏览器上下文中执行。成功利用可能导致账户劫持、会话窃取或蠕虫式攻击,影响用户数据的机密性和完整性。
该漏洞位于`parisneo/lollms`项目的`AppLollmsMessage`类中。核心问题在于`from_dict`方法在执行反序列化操作时,直接将外部输入字典中的`content`字段值赋值给对象属性,完全跳过了必要的安全清理步骤(如HTML实体编码)。由于该应用随后会将这些内容渲染到Web前端,且未在输出上下文中进行适当的上下文感知编码,攻击者可以嵌入恶意的HTML标签或JavaScript事件处理器。例如,通过构造包含`<script>`或`onload`属性的载荷,当受害者浏览包含该消息的页面时,载荷将在受害者的浏览器沙箱中执行。考虑到CVSS评分为6.1且无需认证,攻击者可轻易利用此漏洞窃取Session ID、执行未授权操作或进行钓鱼攻击。