LangBot v4.8.7跨站脚本漏洞 CVE-2026-28509

LangBot（原 QChatGPT）是一款开源、生产级、多平台大模型 IM 机器人开发平台，内置 Agent、RAG、插件系统与 Web 管理后台。

一、基本情况

LangBot 是一个针对大语言模型（LLMs）设计的全球即时通讯机器人平台，内置限流、访问控制、敏感词过滤、异常处理、监控告警。

LangBot 是一款主打一次配置、多端上线，快速将 LLM 接入微信、QQ、飞书主流聊天工具，遵循AGPL‑3.0开源免费协议，社区活跃。

栋科技漏洞库关注到 LangBot 在 4.8.7 之前的版本中中存在的跨站脚本漏洞，漏洞现已被追踪为CVE-2026-28509，CVSS 3.X评分6.3。

二、漏洞分析

CVE-2026-28509漏洞源于 LangBot 网页端界面通过 rehypeRaw 渲染用户提供的原始 HTML 内容，这会导致跨站脚本（XSS）漏洞。

该漏洞存在于上传本地插件功能和调试聊天功能中，攻击者利用漏洞窃取会话令牌（session tokens）和 API 凭证（API credentials）。

具体来说， LangBot的Web UI 组件在渲染用户输入的消息内容时，直接使用 rehypeRaw 插件处理原始 HTML 数据，未进行安全过滤。

攻击者可以利用该漏洞构造包含恶意 JavaScript 代码的 HTML 载荷，从而在受害者查看机器人对话界面时触发跨站脚本（XSS）攻击。

简言之，由于LangBot 未对用户输入的 HTML 内容做净化处理，直接通过 rehypeRaw 渲染导致 XSS 漏洞，从而触发渲染后执行脚本。

该漏洞影响「上传本地插件」（README.md渲染）和「调试聊天」两个核心功能，导致可窃取用户令牌、API密钥被窃取或账户劫持。

攻击方式为构造含恶意脚本的文件/输入内容，窃取会话Cookie、敏感数据并外发、劫持账户或在受害者浏览器中执行未经授权的操作。

漏洞详情：

1、扩展模块中的「上传本地插件」功能

  return (
    <div className="w-full h-full overflow-auto">
      {isLoadingReadme ? (
        <div className="p-6 text-sm text-gray-500 dark:text-gray-400">
          {t('plugins.loadingReadme')}
        </div>
      ) : readme ? (
        <div className="markdown-body p-6 max-w-none pt-0">
          <ReactMarkdown
            remarkPlugins={[remarkGfm]}
            rehypePlugins={[
              rehypeRaw,
              rehypeHighlight,
              rehypeSlug,
              [
                rehypeAutolinkHeadings,
                {
                  behavior: 'wrap',

                  ...

在 PluginReadme.tsx 文件第 50 行，代码使用 ReactMarkdown 结合 rehypeRaw 渲染内容。

由于内容没有通过诸如 rehype-sanitize  等工具进行内容净化的步骤处理，这可能会导致跨站点脚本（XSS）漏洞。

2、流水线中的「调试聊天」功能

            <ReactMarkdown
              remarkPlugins={[remarkGfm]}
              rehypePlugins={[
                rehypeRaw,
                rehypeHighlight,

在 DebugDialog.tsx 文件第 621 行，代码使用 ReactMarkdown 结合 rehypeRaw 渲染内容，

由于内容没有通过诸如 rehype-sanitize  等工具进行内容净化的步骤处理，这可能会导致跨站点脚本（XSS）漏洞。

三、POC概念验证

（一）扩展模块中的「上传本地插件」功能

从「扩展 > 应用市场」安装任意插件；

将已安装的插件复制到任意文件夹；

在 README.md 文件中插入 XSS 攻击载荷；

管理员已设置登录后刷新可查看

4、将文件夹压缩为 ZIP 格式；

zip -r xss.zip .

5、删除已安装的插件；

6、选择上述压缩包文件进行上传；

7、点击「文档（Documentation）」按钮；

8、可确认跨站脚本（XSS）漏洞存在；

9、采用相同方法，还可窃取用户持有的 API 密钥（若修改后的攻击载荷未生效，需重启应用）；

管理员已设置登录后刷新可查看

（二）流水线中的「调试聊天」功能

1、创建一条流水线；

2、发送以下 XSS 攻击载荷；

管理员已设置登录后刷新可查看

3、可确认跨站脚本（XSS）漏洞触发；

（三）漏洞影响

若用户安装包含恶意构造 README.md 文件的扩展插件，其会话令牌和 API 凭证可能被泄露；

触发该 XSS 漏洞的聊天机器人响应或用户输入，也可能导致会话令牌和 API 密钥泄露。

四、影响范围

LangBot <= 4.8.7

五、修复建议

LangBot > 4.8.7

六、参考链接

管理员已设置登录后刷新可查看