Vulnerabilidad en lobeHub (CVE-2026-23835)

LobeHub es una red de agentes humanos y de IA de código abierto. Antes de la versión 1.143.3, la función de carga de archivos en 'Knowledge Base > File Upload' no valida la integridad de la solicitud de carga, lo que permite a los usuarios interceptar y modificar los parámetros de la solicitud. Como resultado, es posible crear archivos arbitrarios en rutas anormales o no intencionadas. Además, dado que 'lobechat.com' se basa en el parámetro de tamaño de la solicitud para calcular el uso del archivo, un atacante puede manipular este valor para tergiversar el tamaño real del archivo, como cargar un archivo de '1 GB' mientras lo reporta como '10 MB', o declarar falsamente un archivo de '10 MB' como un archivo de '1 GB'. Al manipular el valor de tamaño proporcionado en la solicitud de carga del cliente, es posible eludir la cuota de carga mensual impuesta por el servidor y cargar continuamente archivos más allá de los límites de almacenamiento y tráfico previstos. Este abuso puede resultar en una discrepancia entre el consumo real de recursos y los cálculos de facturación, causando un impacto financiero directo al operador del servicio. Además, el agotamiento del almacenamiento o de los recursos relacionados puede provocar una disponibilidad degradada del servicio, incluyendo cargas fallidas, entrega de contenido retrasada o suspensión temporal de la funcionalidad de carga para usuarios legítimos. Un único usuario malicioso también puede afectar negativamente a otros usuarios o proyectos que comparten el mismo plan de suscripción, causando efectivamente una denegación de servicio (DoS) indirecta. Además, las cargas excesivas y no contabilizadas pueden distorsionar las métricas de monitoreo y sobrecargar los sistemas posteriores, como los procesos de copia de seguridad, el escaneo de malware y las tuberías de procesamiento de medios, socavando en última instancia la estabilidad operativa general y la fiabilidad del servicio. La versión 1.143.3 contiene un parche para el problema.