Критическая уязвимость безопасности в версиях parisneo/lollms до 2.2.0 позволяет любому аутентифицированному пользователю принимать или отклонять запросы на добавление в друзья, принадлежащие другим пользователям. Функцияrespond_request() в backend/routers/friends.py не реализует надлежащие проверки авторизации, что делает возможным проведение атак с использованием небезопасной прямой ссылки на объект (IDOR). В частности, конечная точка `/api/friends/requests/{friendship_id}` не может проверить, является ли аутентифицированный пользователь частью дружбы или предполагаемым получателем запроса. Эта уязвимость может привести к несанкционированному доступу, нарушению конфиденциальности и потенциальным атакам социальной инженерии.
Проблема решена в версии 2.2.0.
Показать оригинальное описание (EN)
A critical security vulnerability in parisneo/lollms versions up to 2.2.0 allows any authenticated user to accept or reject friend requests belonging to other users. The `respond_request()` function in `backend/routers/friends.py` does not implement proper authorization checks, enabling Insecure Direct Object Reference (IDOR) attacks. Specifically, the `/api/friends/requests/{friendship_id}` endpoint fails to verify whether the authenticated user is part of the friendship or the intended recipient of the request. This vulnerability can lead to unauthorized access, privacy violations, and potential social engineering attacks. The issue has been addressed in version 2.2.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Lollms Lollms
cpe:2.3:a:lollms:lollms:*:*:*:*:*:*:*:*
|
— |
<= 2.1.0
|