CVE-2026-58578
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
LobeChat przed wersją 2.2.10-canary.15 zawiera podatność na atak typu ReDoS (Regular Expression Denial of Service). Uwierzytelniony atakujący może zablokować pętlę zdarzeń Node.js poprzez dostarczenie złośliwego wzorca katastroficznego cofania w ścieżce URL repozytorium GitHub podczas importu umiejętności. Wzorzec ten jest wstrzykiwany do dynamicznie konstruowanego wyrażenia regularnego w funkcji findSkillMd, co powoduje zawieszenie usługi dla wszystkich użytkowników na dziesiątki sekund na żądanie.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS przez uwierzytelnionego użytkownika, co może prowadzić do niedostępności aplikacji dla wszystkich użytkowników. Atak wymaga jedynie konta w systemie i może być wielokrotnie powtarzany.
Rekomendacja
Należy niezwłocznie zaktualizować LobeChat do wersji 2.2.10-canary.15 lub nowszej. Dodatkowo warto rozważyć ograniczenie dostępu do funkcji importu umiejętności tylko dla zaufanych użytkowników oraz walidację danych wejściowych pod kątem wzorców ReDoS.
Oryginalny opis (angielski, źródło NVD)
LobeChat before version 2.2.10-canary.15 contains a regular expression denial of service (ReDoS) vulnerability that allows authenticated attackers to block the Node.js event loop by supplying a catastrophic-backtracking pattern in a GitHub repository URL path during skill import. Attackers can craft a malicious basePath value containing unescaped regex metacharacters such as catastrophic-backtracking patterns, which are injected into a dynamically constructed regular expression in the findSkillMd function and executed synchronously against archive entries, denying service to all concurrent users for tens of seconds per request.

