Plataforma
nodejs
Componente
anything-llm
Corregido en
1.2.2
Se ha identificado una vulnerabilidad de Path Traversal en la función 'document uploads manager' de mintplex-labs/anything-llm, afectando versiones anteriores o iguales a 1.2.2. Esta falla permite a usuarios con el rol de 'manager' acceder y manipular el archivo de base de datos 'anythingllm.db'. La vulnerabilidad se explota a través del endpoint '/api/document/move-files', lo que podría resultar en la exposición de datos confidenciales.
Un atacante que explote esta vulnerabilidad puede mover el archivo de base de datos 'anythingllm.db' a un directorio accesible públicamente, descargarlo y posteriormente eliminarlo. Esto permite el acceso no autorizado a información sensible almacenada en la base de datos, incluyendo posiblemente credenciales de usuario, configuraciones del sistema y otros datos críticos. La manipulación de la base de datos también podría llevar a la escalada de privilegios y a la pérdida de datos, comprometiendo la integridad y confidencialidad del sistema.
Esta vulnerabilidad ha sido publicada el 2025-03-20. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneo automatizado. La disponibilidad de un POC público podría aumentar el riesgo de explotación. Se recomienda monitorear activamente los sistemas afectados.
Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.
• nodejs / server:
ps aux | grep anything-llm• nodejs / server:
find / -name anythingllm.db 2>/dev/null• generic web:
curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwddisclosure
Estado del Exploit
EPSS
0.27% (51% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 1.2.2 de anything-llm. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al endpoint '/api/document/move-files' a través de un firewall de aplicaciones web (WAF) o un proxy inverso. Además, se debe revisar y endurecer los permisos de los usuarios con el rol 'manager' para limitar su capacidad de manipular archivos sensibles. Después de la actualización, verifique la integridad de la base de datos 'anythingllm.db' para asegurar que no ha sido comprometida.
Actualice anything-llm a la versión 1.2.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones proporcionadas por el proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-10513 is a Path Traversal vulnerability in mintplex-labs/anything-llm versions 1.2.2 and earlier, allowing attackers to access and manipulate the database file.
You are affected if you are using anything-llm version 1.2.2 or earlier. Upgrade to version 1.2.2 to mitigate the risk.
Upgrade to version 1.2.2 of anything-llm. As a temporary workaround, restrict access to the '/api/document/move-files' endpoint.
As of the current date, there are no reports of active exploitation of CVE-2024-10513.
Refer to the mintplex-labs/anything-llm repository or their official communication channels for the advisory related to CVE-2024-10513.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.