Plataforma
nodejs
Componente
mintplex-labs/anything-llm
Corregido en
1.0.1
La vulnerabilidad CVE-2024-0440 es una falla de Server-Side Request Forgery (SSRF) presente en anything-llm en versiones anteriores o iguales a 1.0.0. Un atacante con la capacidad de enviar enlaces, ya sea a través de un formulario o mediante una solicitud POST, puede explotar esta falla utilizando el protocolo file:// para acceder a archivos almacenados localmente en el sistema. La vulnerabilidad ha sido publicada el 25 de febrero de 2024 y se recomienda actualizar a la versión 1.0.0 para mitigar el riesgo.
Esta vulnerabilidad permite a un atacante, con la capacidad de enviar enlaces, leer archivos arbitrarios en el sistema donde se ejecuta anything-llm. Al utilizar el protocolo file://, el atacante puede acceder a archivos de configuración, claves API, contraseñas u otros datos sensibles almacenados en el sistema de archivos. El impacto potencial es significativo, ya que la exposición de estos datos podría permitir el acceso no autorizado a sistemas internos, la exfiltración de información confidencial o incluso la ejecución remota de código si los archivos comprometidos contienen scripts o configuraciones maliciosas. La severidad crítica de la vulnerabilidad (CVSS 9.6) refleja el alto riesgo asociado a su explotación.
La vulnerabilidad CVE-2024-0440 fue publicada el 25 de febrero de 2024. Actualmente no se ha añadido al KEV de CISA, pero la alta puntuación CVSS indica una probabilidad de explotación significativa. No se han reportado públicamente exploits activos, pero la facilidad de explotación (requiere solo la capacidad de enviar una URL) sugiere que podría ser objeto de ataques en el futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Applications utilizing the anything-llm Node.js library in versions prior to 1.0.0 are at risk. This includes applications that process user-supplied URLs without proper validation, particularly those deployed in environments where file system access is not strictly controlled. Shared hosting environments where the application has access to the host's file system are particularly vulnerable.
• nodejs / server:
npm list anything-llm | grep -q '1.0.0' || echo "Vulnerable version detected!" • generic web:
curl -I 'http://your-server/your-endpoint?url=file:///etc/passwd' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Estado del Exploit
EPSS
0.19% (41% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0440 es actualizar a la versión 1.0.0 de anything-llm, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URLs proporcionadas por el usuario. Esto implica verificar que las URLs no utilicen el protocolo file:// y que solo permitan protocolos seguros como https://. Además, se debe restringir el acceso a los archivos sensibles en el sistema de archivos, limitando los permisos de lectura solo a los usuarios y procesos que realmente los necesitan. Finalmente, se recomienda monitorear los registros del sistema en busca de intentos de acceso a archivos inusuales.
Actualice la aplicación Anything LLM a la versión 1.0.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad SSRF que impide el acceso no autorizado a archivos del sistema. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones de actualización proporcionadas por el proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0440 is a critical SSRF vulnerability in the anything-llm Node.js library, allowing attackers to access host files via the file:// protocol in POST requests.
You are affected if you are using anything-llm versions less than or equal to 1.0.0 and are not validating user-supplied URLs.
Upgrade to version 1.0.0 of anything-llm. If immediate upgrade isn't possible, implement strict input validation to filter out file:// URLs.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest active exploitation is possible.
Refer to the project's repository or website for the official advisory, typically found in the release notes or security announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.