Vulnerabilidad en la función Parser_parseDocument() en pupnp (CVE-2026-1117)

Una vulnerabilidad en el componente 'lollms_generation_events.py' de parisneo/lollms versión 5.9.0 permite acceso no autenticado a eventos sensibles de Socket.IO. La función 'add_events' registra manejadores de eventos como 'generate_text', 'cancel_generation', 'generate_msg' y 'generate_msg_from' sin implementar comprobaciones de autenticación o autorización. Esto permite a clientes no autenticados ejecutar operaciones que consumen muchos recursos o que alteran el estado, lo que lleva a una potencial denegación de servicio, corrupción de estado y condiciones de carrera. Además, el uso de indicadores globales ('lollmsElfServer.busy', 'lollmsElfServer.cancel_gen') para la gestión de estado en un entorno multi-cliente introduce vulnerabilidades adicionales, permitiendo que las acciones de un cliente afecten el estado del servidor y las operaciones de otros clientes. La falta de un control de acceso adecuado y la dependencia de una gestión de estado global insegura impacta significativamente la disponibilidad y la integridad del servicio.