目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-58578— LobeHub 资源管理错误漏洞

CVSS 6.5 · Medium EPSS 0.30% · P22

Possible ATT&CK Techniques 1AI

T1499 · Endpoint Denial of Service

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
lobehublobehub< 2.2.10-canary.15affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-58578の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
LobeChat < 2.2.10-canary.15 - Regular Expression Denial of Service in GitHub Skill Import
ソース: NVD (National Vulnerability Database)
脆弱性説明
LobeChat before version 2.2.10-canary.15 contains a regular expression denial of service (ReDoS) vulnerability that allows authenticated attackers to block the Node.js event loop by supplying a catastrophic-backtracking pattern in a GitHub repository URL path during skill import. Attackers can craft a malicious basePath value containing unescaped regex metacharacters such as catastrophic-backtracking patterns, which are injected into a dynamically constructed regular expression in the findSkillMd function and executed synchronously against archive entries, denying service to all concurrent users for tens of seconds per request.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
CWE-1333
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
LobeHub 资源管理错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
LobeHub是LobeHub团队开源的一个全平台AI对话框架。 LobeHub 2.2.10-canary.15之前版本存在资源管理错误漏洞,该漏洞源于在技能导入期间对GitHub仓库URL路径中的正则表达式元字符处理不当,导致findSkillMd函数中动态构造的正则表达式存在正则表达式拒绝服务(ReDoS)问题,认证攻击者可通过提供灾难性回溯模式利用该漏洞,导致Node.js事件循环阻塞,拒绝服务持续数十秒。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
lobehublobehub 0 ~ 2.2.10-canary.15 -

II. CVE-2026-58578の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-58578のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-58578 补丁与修复 (2)

CVE-2026-58578 厂商安全公告 (2)

Same Patch Batch · lobehub · 2026-07-02 · 5 CVEs total

CVE-2026-590957.7 HIGHLobeChat < 2.2.10-canary.18 - SSRF via importFromUrl and fetchImageFromUrl
CVE-2026-590986.5 MEDIUMLobeChat 2.2.9 - Cross-User Document Disclosure via Unscoped RAG Semantic Search
CVE-2026-585805.9 MEDIUMLobeChat 2.2.9 - Broken Object-Level Authorization in Message Sub-Resource Writes
CVE-2026-591005.0 MEDIUMLobeChat 2.2.9 - Broken Object Level Authorization via Chat-Group Agent Operations

IV. 関連脆弱性

V. CVE-2026-58578へのコメント

まだコメントはありません


コメントを残す