Plataforma
nodejs
Componente
anything-llm
Corregido en
1.0.1
La vulnerabilidad CVE-2024-3025 es un fallo de Path Traversal descubierto en anything-llm, una aplicación Node.js. Esta falla permite a los atacantes acceder a archivos fuera del directorio restringido al manipular el nombre del archivo de logo. Las versiones afectadas son aquellas menores o iguales a 1.0.0. La solución recomendada es actualizar a la versión 1.0.0.
Un atacante puede explotar esta vulnerabilidad manipulando el nombre del archivo de logo a través de las API /api/system/upload-logo y /api/system/logo. La falta de validación en el nombre del archivo permite a los atacantes acceder a archivos sensibles, incluyendo la base de datos de la aplicación. Esto podría resultar en la lectura confidencial de datos, la modificación de la configuración del sistema, o incluso la ejecución remota de código si se accede a archivos ejecutables. La severidad crítica de esta vulnerabilidad indica un alto riesgo de compromiso del sistema.
Esta vulnerabilidad se publicó el 10 de abril de 2024. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de Path Traversal la hace susceptible a escaneos automatizados y explotación. La alta puntuación CVSS indica una alta probabilidad de explotación si no se mitiga. No se ha añadido a KEV al momento de esta redacción.
Organizations deploying anything-llm in production environments, particularly those with sensitive data stored on the server, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as an attacker could potentially exploit this vulnerability to access data belonging to other users.
• nodejs / server:
grep -r "../" /var/log/nginx/access.log• nodejs / server:
journalctl -u anything-llm | grep -i "path traversal"• generic web:
Review access logs for requests to /api/system/upload-logo and /api/system/logo containing suspicious filenames.
• generic web:
Check response headers for unexpected file content types or error messages related to file access.
disclosure
Estado del Exploit
EPSS
0.23% (46% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 1.0.0 de anything-llm, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta del nombre del archivo de logo en el código de la aplicación. Esto debe incluir la verificación de que el nombre del archivo no contenga caracteres especiales o secuencias de escape que puedan ser utilizadas para evadir la validación. Además, se debe restringir el acceso a los archivos sensibles mediante permisos de archivo adecuados. Verifique después de la actualización que el acceso a /api/system/upload-logo y /api/system/logo requiera autenticación y que los nombres de archivo se validen correctamente.
Actualice a la versión 1.0.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que atacantes manipulen el nombre del archivo del logo para acceder a archivos fuera del directorio restringido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-3025 is a critical vulnerability in anything-llm versions up to 1.0.0 that allows attackers to read or delete files by manipulating the logo filename.
You are affected if you are using anything-llm version 1.0.0 or earlier. Upgrade to 1.0.0 to mitigate the risk.
Upgrade to version 1.0.0 of anything-llm. As a temporary workaround, implement a WAF rule to block requests with path traversal sequences in the logo filename.
As of now, there are no confirmed reports of active exploitation, but the high CVSS score indicates a significant risk.
Refer to the mintplex-labs/anything-llm repository on GitHub for updates and advisories related to CVE-2024-3025.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.