漏洞概述 漏洞名称: LobeHub 2.2.9 - Broken Object-Level Authorization in Message Sub-Resource Writes CVE编号: CVE-2026-58580 CWE编号: CWE-639 Authorization Bypass Through User-Controlled Key CVSS评分: 6 (中等) 发布日期: 2026年7月2日 影响范围 受影响版本: LobeHub <= 2.2.9 具体影响: - LobeHub 2.2.9 服务器数据库部署中存在对象级授权漏洞,涉及 的 、 、 、 和 方法。 - 这些方法仅通过消息ID过滤目标行,忽略了用户ID范围,导致其他用户的消息标识符可以被覆盖。 - 攻击者可以通过已知的消息标识符,覆盖受害者的插件工具调用元数据、插件状态/错误、文本转语音和翻译记录,并返回篡改后的内容。 - 利用需要知道受害者的非枚举消息标识符。 修复方案 修复建议: - 更新 LobeHub 到最新版本,确保所有相关方法都正确过滤用户ID范围。 - 加强用户身份验证和授权机制,防止未授权访问和修改其他用户的消息数据。 POC代码或利用代码 页面中未提供具体的POC代码或利用代码。 其他信息 研究人员: George Chen 参考链接: Researcher Disclosure --- 以上为关于 LobeHub 2.2.9 漏洞的关键信息总结。