Plattform
nodejs
Komponente
anything-llm
Behoben in
1.12.1
CVE-2026-5627 represents a path traversal vulnerability discovered in mintplex-labs/anything-llm versions prior to 1.12.1, specifically within the AgentFlows component. This flaw allows attackers to bypass directory restrictions by manipulating user input, enabling unauthorized access or deletion of sensitive files. The vulnerability impacts versions up to 1.12.1 and a patch is available in version 1.12.1.
CVE-2026-5627 in mintplex-labs/anything-llm (Versionen bis einschließlich 1.9.1) stellt ein erhebliches Risiko dar, da eine Pfadüberschreitungs-Schwachstelle im AgentFlows-Komponent vorhanden ist. Dieser Fehler ermöglicht es Angreifern, beliebige .json-Dateien auf dem Server zu lesen oder zu löschen, wodurch die Vertraulichkeit und Integrität der Daten gefährdet wird. Die Kombination aus path.join und normalizePath in den Methoden loadFlow und deleteFlow innerhalb von server/utils/agentFlows/index.js ist die Ursache, die es ermöglicht, Verzeichnisbeschränkungen zu umgehen. Ein Angreifer könnte beispielsweise sensible Informationen lesen, die in Konfigurationsdateien gespeichert sind, oder kritische Workflows löschen, wodurch der Betrieb der Anwendung gestört wird. Die CVSS-Schwere von 9.1 deutet auf ein kritisches Risiko hin, das sofortige Aufmerksamkeit erfordert.
Die Schwachstelle wird durch Manipulation der Eingaben ausgenutzt, die den Methoden loadFlow und deleteFlow bereitgestellt werden. Ein Angreifer kann eine bösartige URL erstellen, die spezielle Zeichen enthält, die in Kombination mit path.join und normalizePath den Zugriff auf Verzeichnisse außerhalb des vorgesehenen Bereichs ermöglichen. Beispielsweise kann ../ verwendet werden, um in der Verzeichnisstruktur nach oben zu navigieren. Das Fehlen einer angemessenen Eingabevalidierung ermöglicht es Angreifern, Sicherheitsvorkehrungen zu umgehen und auf sensible Dateien zuzugreifen. Für die Ausnutzung ist Zugriff auf die Anwendung über eine Web-Schnittstelle oder API erforderlich.
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Version 1.12.1 oder höher von mintplex-labs/anything-llm. Diese Version behebt die Pfadüberschreitungs-Schwachstelle, indem sie eine robustere Validierung der Benutzereingabe implementiert, bevor diese in den Funktionen path.join und normalizePath verwendet wird. Überprüfen Sie außerdem die Serverberechtigungskonfigurationen, um den Zugriff auf sensible Dateien zu beschränken. Die Implementierung einer Software-Sicherheitspolitik, die regelmäßige Sicherheitstests und Schwachstellenanalysen umfasst, kann dazu beitragen, zukünftige Vorfälle zu verhindern. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten ist ebenfalls ein wichtiges präventives Maß.
Actualice el paquete anything-llm a la versión 1.12.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las entradas del usuario, evitando el acceso no autorizado a archivos sensibles en el servidor.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Versionen von anything-llm bis einschließlich 1.9.1 sind anfällig für CVE-2026-5627.
Überprüfen Sie die installierte Version von anything-llm in Ihrem Projekt. Wenn sie kleiner als 1.12.1 ist, sind Sie anfällig.
Als vorübergehende Maßnahme beschränken Sie den Zugriff auf sensible .json-Dateien auf dem Server und überwachen Sie die Protokolle auf verdächtige Aktivitäten.
Es werden Schwachstellenscanner entwickelt, um diese Schwachstelle zu erkennen. Überprüfen Sie Sicherheitsquellen auf Updates.
CVSS 9.1 weist auf eine kritische Schwachstelle mit einem hohen Grad an Ausnutzbarkeit und einer erheblichen Auswirkung auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems hin.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.