CVE-2026-39411

Nome do Software Vulnerável e Versões Afetadas LobeHub versões anteriores a 2.1.48

Descrição A camada de autenticação webapi confia incorretamente em um cabeçalho X-lobe-chat-auth controlado pelo cliente que é apenas ofuscado por XOR, não devidamente assinado ou autenticado. A chave XOR está codificada no repositório, permitindo que invasores forjem cargas úteis de autenticação e ignorem a autenticação em rotas webapi protegidas. Os endpoints de API afetados incluem: /webapi/chat/[provider], /webapi/models/[provider], /webapi/models/[provider]/pull e /webapi/create-image/comfyui. O backend decodifica o cabeçalho X-lobe-chat-auth usando a chave codificada LobeHub · LobeHub e aceita qualquer campo apiKey verdadeiro dentro do JSON decodificado como autenticação válida. Isso permite que um invasor acesse rotas protegidas sem uma sessão válida, potencialmente gastando as credenciais do provedor de modelo do lado do servidor da implantação ou se passando por outros usuários. A vulnerabilidade permite um bypass de autenticação não autenticado, permitindo o acesso a operações de modelo backend privilegiadas, como chat, listagem de modelos, extração de modelos e geração de imagens ComfyUI.

Recomendações Atualize para a versão 2.1.48 ou posterior para resolver este problema. Pare de tratar o cabeçalho X-lobe-chat-auth como um token de autenticação. Remova a verificação de verdade do campo apiKey para fins de autenticação. Implemente uma sessão validada pelo servidor real, token OIDC ou chave de API validada para todas as rotas webapi protegidas.