CVE-2026-54157
KrytyczneCVSS 9.0Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 75 — wyżej niż 75% wszystkich znanych CVE
Streszczenie
LobeHub przed wersją 2.1.57 miał podatność w punkcie końcowym /webapi/proxy, który akceptował URL w ciele POST bez autoryzacji. Atakujący mógł wykorzystać to do wykonywania dowolnych żądań wychodzących z infrastruktury LobeHub oraz do wycieku szczegółów wdrożenia Vercel.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych oraz na ataki typu XSS, co może prowadzić do kradzieży sesji użytkowników i wycieku informacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.1.57 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów autoryzacji dla punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
LobeHub is a work-and-lifestyle space to find, build, and collaborate with agent teammates that grow with you. Prior to 2.1.57, the /webapi/proxy endpoint on app.lobehub.com accepts a URL in the POST body and fetches it server-side without any authentication. An attacker can use this to make arbitrary outbound requests from LobeHub's infrastructure, leak Vercel deployment details, and inject cookies on the lobehub.com domain through reflected Set-Cookie headers. This vulnerability is fixed in 2.1.57.

