Plataforma
nodejs
Componente
anything-llm
Corregido en
0.7.2
La vulnerabilidad CVE-2024-0455 es una falla de tipo SSRF (Server-Side Request Forgery) descubierta en AnythingLLM, una aplicación construida sobre Node.js. Esta falla permite a usuarios con permisos de administrador o usuario único acceder a credenciales de instancias EC2, comprometiendo la seguridad de la infraestructura subyacente. La vulnerabilidad afecta a versiones de AnythingLLM menores o iguales a 1.0.0, y se ha solucionado en la versión 1.0.0.
El impacto de esta vulnerabilidad es severo. Un atacante, con los permisos adecuados dentro de AnythingLLM (administrador o usuario único), puede explotar la falla SSRF para solicitar información sensible desde una instancia EC2. Específicamente, la URL http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance permite obtener las credenciales de seguridad de la instancia EC2. Con estas credenciales, el atacante podría obtener acceso completo a la instancia, permitiéndole leer y modificar datos, instalar software malicioso, o incluso utilizar la instancia como punto de partida para ataques laterales dentro de la red. La capacidad de gestionar la instancia independientemente de quién la desplegó amplifica significativamente el riesgo.
La vulnerabilidad CVE-2024-0455 fue publicada el 25 de febrero de 2024. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente exploits activos, pero la disponibilidad de la información sobre la vulnerabilidad y la relativa simplicidad de la explotación la convierten en un objetivo potencial. La existencia de un Proof of Concept (PoC) público podría aumentar la probabilidad de explotación.
Organizations deploying AnythingLLM within Amazon EC2 environments are particularly at risk. Specifically, environments where manager or admin accounts have been configured with overly permissive access or where security best practices regarding EC2 instance credentials are not strictly enforced are highly vulnerable. Shared hosting environments utilizing AnythingLLM also present a heightened risk.
• nodejs / server:
ps aux | grep 'http://169.254.169.254'• generic web:
curl -I 'http://your-anythingllm-instance/scrape?url=http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Estado del Exploit
EPSS
0.24% (48% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0455 es actualizar a la versión 1.0.0 de AnythingLLM, que incluye la corrección de la vulnerabilidad SSRF. Si la actualización a la versión 1.0.0 causa problemas de compatibilidad, se recomienda evaluar la posibilidad de implementar una solución temporal mediante la restricción de las URLs que la aplicación puede solicitar. Esto podría lograrse a través de un proxy inverso o un Web Application Firewall (WAF) configurado para bloquear solicitudes a la URL http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance. Verifique después de la actualización que la aplicación funcione correctamente y que la vulnerabilidad haya sido efectivamente mitigada.
Actualice AnythingLLM a una versión posterior a 1.0.0 que contenga la corrección para la vulnerabilidad SSRF. Alternativamente, configure reglas de firewall o iptables para bloquear el acceso a la dirección IP 169.254.169.254 desde la instancia EC2.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0455 is a critical SSRF vulnerability in AnythingLLM versions up to 1.0.0, allowing attackers to access EC2 instance credentials with manager/admin privileges.
You are affected if you are using AnythingLLM version 1.0.0 or earlier and have users with manager or admin roles.
Upgrade to AnythingLLM version 1.0.0 or later. Implement temporary workarounds like restricting access and input validation if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Refer to the official AnythingLLM project repository or website for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.