Plateforme
nodejs
Composant
anything-llm
Corrigé dans
1.0.1
La vulnérabilité CVE-2024-0439 concerne un contournement des permissions dans Anything LLM. Bien que non critique, elle permet à un utilisateur d'altérer des paramètres de configuration sensibles en utilisant une requête HTTP standard, malgré le fait que ces paramètres soient masqués dans l'interface utilisateur pour les rôles de gestion. Cette faille affecte les versions inférieures ou égales à 1.0.0 et a été corrigée dans la version 1.0.0.
Cette vulnérabilité permet à un attaquant, disposant d'un token valide, de modifier des paramètres de configuration critiques de l'application Anything LLM. Bien que l'interface utilisateur masque ces paramètres pour les gestionnaires, la possibilité de les modifier via une requête HTTP directe représente un risque significatif. Un attaquant pourrait ainsi altérer le comportement de l'application, compromettre sa sécurité ou même accéder à des données sensibles. L'impact est amplifié si ces paramètres contrôlent l'accès aux données ou les règles de fonctionnement de l'application.
La vulnérabilité a été divulguée le 25 février 2024. Aucune preuve d'exploitation active n'est actuellement disponible. Le score de probabilité d'exploitation est considéré comme faible en raison de la nécessité d'une connaissance technique et d'un token valide. Cette vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Organizations utilizing Anything LLM in environments where role-based access control is critical are at risk. This includes deployments where sensitive data is processed or where the LLM's configuration directly impacts critical business operations. Users relying on the integrity of the LLM's settings are also at risk.
disclosure
Statut de l'Exploit
EPSS
0.22% (percentile 44%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour vers la version 1.0.0 d'Anything LLM, qui corrige cette vulnérabilité. En attendant la mise à jour, il n'existe pas de contournement direct. Il est crucial de renforcer la validation des requêtes HTTP entrantes pour s'assurer que les utilisateurs n'ont pas les permissions nécessaires pour modifier les paramètres sensibles. Surveiller attentivement les journaux d'accès pour détecter des requêtes suspectes ciblant les points d'accès de configuration est également recommandé.
Actualice a una versión posterior a la 1.0.0 donde se haya corregido la vulnerabilidad. Esto evitará que los usuarios con permisos de 'manager' modifiquen la configuración del sistema directamente a través de peticiones HTTP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-0439 is a vulnerability in Anything LLM that allows unauthorized modification of settings due to a bypass in the authorization mechanism.
You are affected if you are using Anything LLM versions 1.0.0 or earlier.
Upgrade to version 1.0.0 of Anything LLM to remediate the vulnerability. Consider implementing stricter HTTP access controls as an interim measure.
There are currently no known public exploits or active campaigns targeting this CVE.
Refer to the official Anything LLM documentation and release notes for details regarding this vulnerability and the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.