Plateforme
nodejs
Composant
anything-llm
Corrigé dans
0.7.2
La vulnérabilité CVE-2024-0455 est une faille de type SSRF (Server-Side Request Forgery) découverte dans AnythingLLM. Cette faille permet à un utilisateur autorisé (administrateur, gestionnaire, ou en mode utilisateur unique) d'accéder aux informations d'identification de l'instance EC2 sur laquelle l'application est hébergée. Elle affecte les versions d'AnythingLLM inférieures ou égales à 1.0.0 et a été publiée le 25 février 2024. La mise à jour vers la version 1.0.0 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est significatif. Un attaquant exploitant cette faille peut récupérer les informations d'identification de l'instance EC2, permettant un contrôle non autorisé sur l'infrastructure sous-jacente. Cela inclut la capacité de modifier la configuration de l'instance, d'installer des logiciels malveillants, et potentiellement d'accéder à d'autres ressources connectées au même réseau. La divulgation des informations d'identification de l'instance EC2 représente une brèche de sécurité majeure, car elle permet à l'attaquant de contourner les contrôles d'accès et de compromettre la confidentialité, l'intégrité et la disponibilité des données hébergées sur l'instance.
La vulnérabilité CVE-2024-0455 est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la simplicité de l'exploitation et la criticité de l'impact rendent cette vulnérabilité préoccupante. Aucun Proof of Concept (PoC) public n'a été identifié à ce jour, mais la description de la vulnérabilité est suffisamment claire pour permettre à un attaquant compétent de l'exploiter. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA.
Organizations deploying AnythingLLM within Amazon EC2 environments are particularly at risk. Specifically, environments where manager or admin accounts have been configured with overly permissive access or where security best practices regarding EC2 instance credentials are not strictly enforced are highly vulnerable. Shared hosting environments utilizing AnythingLLM also present a heightened risk.
• nodejs / server:
ps aux | grep 'http://169.254.169.254'• generic web:
curl -I 'http://your-anythingllm-instance/scrape?url=http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Statut de l'Exploit
EPSS
0.24% (percentile 48%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour AnythingLLM vers la version 1.0.0 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'accès aux fonctionnalités de web scraping et de restreindre les autorisations des utilisateurs. Il est également recommandé de mettre en place des règles de pare-feu applicatif web (WAF) pour bloquer les requêtes suspectes contenant des URL malveillantes. Surveillez attentivement les journaux d'accès pour détecter toute tentative d'exploitation de cette vulnérabilité, en particulier les requêtes vers des adresses IP et des URL inhabituelles.
Mettez à jour AnythingLLM à une version supérieure à 1.0.0 qui contient la correction pour la vulnérabilité SSRF. Alternativement, configurez des règles de pare-feu ou d'iptables pour bloquer l'accès à l'adresse IP 169.254.169.254 depuis l'instance EC2.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-0455 is a critical SSRF vulnerability in AnythingLLM versions up to 1.0.0, allowing attackers to access EC2 instance credentials with manager/admin privileges.
You are affected if you are using AnythingLLM version 1.0.0 or earlier and have users with manager or admin roles.
Upgrade to AnythingLLM version 1.0.0 or later. Implement temporary workarounds like restricting access and input validation if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Refer to the official AnythingLLM project repository or website for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.