Plataforma
nodejs
Componente
anything-llm
Corregido en
1.0.1
La vulnerabilidad CVE-2024-0439 afecta a Anything LLM en versiones anteriores o iguales a 1.0.0. Esta falla de autorización permite a usuarios con tokens modificar configuraciones sensibles a través de solicitudes HTTP estándar, a pesar de que la interfaz de usuario las oculta. Aunque no es crítica, esta vulnerabilidad requiere una corrección para garantizar el cumplimiento de los niveles de permisos esperados.
Un atacante que explote esta vulnerabilidad podría modificar la configuración de Anything LLM, alterando su comportamiento y potencialmente comprometiendo la integridad de los datos. Esto podría incluir la modificación de parámetros de seguridad, la desactivación de funciones de control de acceso o la manipulación de la lógica de procesamiento del lenguaje natural. Si bien la interfaz de usuario intenta ocultar estas opciones, la posibilidad de acceder a ellas directamente a través de una solicitud HTTP representa un riesgo significativo, especialmente en entornos donde la seguridad de la configuración es primordial. La falta de controles de acceso adecuados podría permitir a un atacante obtener un control no autorizado sobre el sistema.
Esta vulnerabilidad no se encuentra en el KEV de CISA ni se ha reportado una puntuación EPSS. No se han identificado públicamente pruebas de concepto (PoC) activas. La divulgación pública se realizó el 25 de febrero de 2024. Aunque no hay evidencia de explotación activa en este momento, la facilidad de explotación y el potencial impacto justifican una atención inmediata.
Organizations utilizing Anything LLM in environments where role-based access control is critical are at risk. This includes deployments where sensitive data is processed or where the LLM's configuration directly impacts critical business operations. Users relying on the integrity of the LLM's settings are also at risk.
disclosure
Estado del Exploit
EPSS
0.22% (44% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0439 es actualizar a la versión 1.0.0 o superior de Anything LLM, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a las API de configuración a usuarios autorizados y auditar regularmente los registros de acceso para detectar actividades sospechosas. Implementar reglas de firewall para bloquear solicitudes HTTP no autorizadas a los puntos finales de configuración también puede ayudar a mitigar el riesgo. Después de la actualización, confirme la corrección revisando los permisos de usuario y verificando que las configuraciones sensibles solo sean accesibles a los usuarios autorizados.
Actualice a una versión posterior a la 1.0.0 donde se haya corregido la vulnerabilidad. Esto evitará que los usuarios con permisos de 'manager' modifiquen la configuración del sistema directamente a través de peticiones HTTP.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0439 is a vulnerability in Anything LLM that allows unauthorized modification of settings due to a bypass in the authorization mechanism.
You are affected if you are using Anything LLM versions 1.0.0 or earlier.
Upgrade to version 1.0.0 of Anything LLM to remediate the vulnerability. Consider implementing stricter HTTP access controls as an interim measure.
There are currently no known public exploits or active campaigns targeting this CVE.
Refer to the official Anything LLM documentation and release notes for details regarding this vulnerability and the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.