Katalog CVE

CVE-2026-54157

KrytyczneCVSS 9.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
1.78%

Percentyl 75 — wyżej niż 75% wszystkich znanych CVE

Streszczenie

LobeHub przed wersją 2.1.57 miał podatność w punkcie końcowym /webapi/proxy, który akceptował URL w ciele POST bez autoryzacji. Atakujący mógł wykorzystać to do wykonywania dowolnych żądań wychodzących z infrastruktury LobeHub oraz do wycieku szczegółów wdrożenia Vercel.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do danych oraz na ataki typu XSS, co może prowadzić do kradzieży sesji użytkowników i wycieku informacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.1.57 lub nowszej, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów autoryzacji dla punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

LobeHub is a work-and-lifestyle space to find, build, and collaborate with agent teammates that grow with you. Prior to 2.1.57, the /webapi/proxy endpoint on app.lobehub.com accepts a URL in the POST body and fetches it server-side without any authentication. An attacker can use this to make arbitrary outbound requests from LobeHub's infrastructure, leak Vercel deployment details, and inject cookies on the lobehub.com domain through reflected Set-Cookie headers. This vulnerability is fixed in 2.1.57.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS