Plataforma
nodejs
Componente
anything-llm
Corregido en
1.0.1
La vulnerabilidad CVE-2024-0550 es una falla de ejecución remota de código (RCE) presente en Anything LLM, versiones anteriores o iguales a 1.0.0. Un atacante con privilegios de administrador puede explotar esta falla para descargar archivos arbitrarios desde el servidor. Esta vulnerabilidad permite el acceso no autorizado a datos confidenciales y la ejecución de código malicioso en el sistema afectado. La versión 1.0.0 corrige esta vulnerabilidad.
Esta vulnerabilidad permite a un atacante, que ya posee privilegios de administrador dentro de Anything LLM, subir una imagen de perfil (PFP) utilizando una ruta de archivo relativa. Posteriormente, puede utilizar la API de obtención de PFP para descargar cualquier archivo accesible en el sistema de archivos del servidor. El impacto es significativo, ya que un atacante podría obtener acceso a información confidencial, como claves de API, contraseñas, o incluso código fuente. Además, la capacidad de descargar archivos arbitrarios abre la puerta a la ejecución remota de código, permitiendo al atacante tomar el control completo del servidor. Esta vulnerabilidad comparte similitudes con otras fallas de manipulación de archivos que permiten la lectura o escritura no autorizada, lo que podría llevar a una brecha de seguridad significativa.
La vulnerabilidad fue publicada el 28 de febrero de 2024. No se ha reportado su inclusión en el KEV de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (RCE) sugiere un riesgo significativo si se explota. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Organizations using Anything LLM in environments where privileged user accounts exist are at risk. This includes deployments with multiple administrators or managers, and those where user roles and permissions are not strictly enforced. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as a compromise of one privileged account could lead to widespread data exfiltration.
• nodejs / server:
# Monitor for suspicious file access attempts in application logs
grep -i "profile picture" /var/log/anythingllm/access.log• generic web:
# Check for endpoint exposure related to profile picture uploads
curl -I https://your-anythingllm-instance/api/v1/user/profile/picturedisclosure
Estado del Exploit
EPSS
0.85% (75% percentil)
Vector CVSS
La mitigación principal para CVE-2024-0550 es actualizar a la versión 1.0.0 de Anything LLM, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restrinja el acceso a la API de obtención de PFP solo a usuarios autenticados y autorizados. Implemente validación estricta de las rutas de archivo proporcionadas por el usuario para evitar la manipulación. Considere el uso de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas. Monitoree los registros del servidor en busca de intentos de acceso no autorizados a archivos.
Actualice a una versión posterior a la 1.0.0 donde se haya corregido la vulnerabilidad. La actualización mitigará la posibilidad de que usuarios privilegiados accedan a archivos del sistema no autorizados. Consulte el commit e1dcd5ded010b03abd6aa32d1bf0668a48e38e17 para más detalles sobre la solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-0550 es una vulnerabilidad de ejecución remota de código en Anything LLM que permite a un administrador descargar archivos arbitrarios.
Sí, si está utilizando Anything LLM en una versión anterior o igual a 1.0.0, es vulnerable a esta falla.
Actualice a la versión 1.0.0 de Anything LLM para corregir esta vulnerabilidad. Implemente medidas de seguridad adicionales si la actualización no es inmediata.
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad sugiere un riesgo significativo.
Consulte la documentación oficial de Anything LLM o su repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.