CVE-2026-1115

Name of the Vulnerable Software and Affected Versions parisneo/lollms versões anteriores a 2.2.0

Description Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado existe na funcionalidade social do parisneo/lollms. A vulnerabilidade está localizada na função create post dentro de backend/routers/social/ init .py, onde o conteúdo fornecido pelo usuário é diretamente atribuído ao modelo DBPost sem a devida sanitização. Isso permite que invasores injetem JavaScript malicioso que é executado nos navegadores dos usuários que visualizam o Feed Inicial, potencialmente levando à tomada de conta de conta, sequestro de sessão e ataques wormable.

Recommendations Atualize para a versão 2.2.0 para resolver a vulnerabilidade.