Plateforme
nodejs
Composant
mintplex-labs/anything-llm
Corrigé dans
1.0.1
La vulnérabilité CVE-2024-0440 est une faille de type SSRF (Server-Side Request Forgery) affectant la bibliothèque anything-llm. Cette faille permet à un attaquant, disposant de la permission de soumettre un lien, d'accéder à des fichiers sensibles sur le serveur en utilisant le protocole file://. Les versions concernées sont celles inférieures ou égales à 1.0.0. Une version corrigée (1.0.0) est désormais disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lire des fichiers arbitraires sur le système de fichiers du serveur. Cela inclut potentiellement des fichiers de configuration contenant des informations sensibles, des clés API, des mots de passe, ou d'autres données confidentielles. L'attaquant pourrait également accéder à des fichiers stockés localement, tels que des journaux d'activité ou des données de sauvegarde. Le risque est exacerbé si le serveur est utilisé pour traiter des données sensibles ou si des informations d'identification sont stockées dans des fichiers accessibles via cette vulnérabilité. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, une SSRF peut être une étape préliminaire à d'autres attaques, comme la découverte de services internes ou l'escalade de privilèges.
La vulnérabilité CVE-2024-0440 a été rendue publique le 25 février 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au catalogue KEV de CISA. Aucun proof-of-concept public n'est connu à l'heure actuelle, mais la nature de la SSRF rend l'exploitation relativement simple si un attaquant a accès à l'application.
Applications utilizing the anything-llm Node.js library in versions prior to 1.0.0 are at risk. This includes applications that process user-supplied URLs without proper validation, particularly those deployed in environments where file system access is not strictly controlled. Shared hosting environments where the application has access to the host's file system are particularly vulnerable.
• nodejs / server:
npm list anything-llm | grep -q '1.0.0' || echo "Vulnerable version detected!" • generic web:
curl -I 'http://your-server/your-endpoint?url=file:///etc/passwd' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Statut de l'Exploit
EPSS
0.19% (percentile 41%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque anything-llm vers la version 1.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre l'accès au protocole file:// via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez le WAF pour bloquer les requêtes contenant 'file://' dans l'URL. Vérifiez également les permissions des fichiers sensibles pour vous assurer qu'ils ne sont pas accessibles par l'utilisateur sous lequel s'exécute l'application. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en essayant de soumettre un lien file:// et en confirmant que l'accès est refusé.
Mettez à jour l'application Anything LLM à la version 1.0.0 ou ultérieure. Cette version contient une correction pour la vulnérabilité SSRF qui empêche l'accès non autorisé aux fichiers du système. La mise à jour peut être effectuée via le gestionnaire de paquets npm ou en suivant les instructions de mise à jour fournies par le fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-0440 is a critical SSRF vulnerability in the anything-llm Node.js library, allowing attackers to access host files via the file:// protocol in POST requests.
You are affected if you are using anything-llm versions less than or equal to 1.0.0 and are not validating user-supplied URLs.
Upgrade to version 1.0.0 of anything-llm. If immediate upgrade isn't possible, implement strict input validation to filter out file:// URLs.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest active exploitation is possible.
Refer to the project's repository or website for the official advisory, typically found in the release notes or security announcements.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.