Plateforme
nodejs
Composant
anything-llm
Corrigé dans
1.0.1
Le projet mintplex-labs/anything-llm présente une vulnérabilité de parcours de chemin (Path Traversal). Cette faille permet à des attaquants non autorisés, disposant d'un compte avec un rôle par défaut, de supprimer des fichiers et des dossiers sur le système de fichiers, y compris des fichiers de base de données critiques tels que 'anythingllm.db'. La vulnérabilité est due à une validation et une normalisation insuffisantes des entrées lors du traitement des demandes de suppression de fichiers et de dossiers. Les versions affectées sont celles inférieures ou égales à 1.0.0. Une mise à jour vers la version 1.0.0 corrige ce problème.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre l'intégrité et la disponibilité des données stockées dans Anything LLM. La capacité de supprimer des fichiers arbitraires sur le système de fichiers signifie qu'un attaquant pourrait effacer la base de données de l'application, les fichiers de configuration, ou même des composants essentiels du système d'exploitation sous-jacent, selon les permissions du compte par défaut. La suppression de 'anythingllm.db' entraînerait une perte de données significative et rendrait l'application inutilisable. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la vulnérabilité de parcours de chemin la rend relativement simple à exploiter, en particulier pour des attaquants ayant accès à un compte avec des privilèges limités.
Cette vulnérabilité a été publiée le 16 avril 2024. Il n'y a pas d'indication d'exploitation active à ce jour, mais la simplicité de la vulnérabilité de parcours de chemin suggère qu'elle pourrait être rapidement exploitée. Le score EPSS n'est pas encore disponible, mais la CVSS de 8.1 (HIGH) indique un risque significatif. Il n'est pas listé sur le KEV de CISA pour le moment.
Organizations deploying Anything LLM with default role accounts are at immediate risk. Shared hosting environments where multiple users share the same application instance are particularly vulnerable, as an attacker could potentially compromise the entire environment. Legacy configurations that haven't been updated to the latest security patches are also at increased risk.
• nodejs / server:
ps aux | grep anything-llm
find / -name 'anythingllm.db' 2>/dev/null• generic web:
curl -I http://<your-anything-llm-server>/delete?path=../etc/passwd• generic web:
grep -r "../" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.25% (percentile 48%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour Anything LLM vers la version 1.0.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à restreindre les permissions du compte par défaut pour limiter son accès au système de fichiers. Il est également recommandé de mettre en œuvre une surveillance accrue des activités de suppression de fichiers et de dossiers. Envisagez de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..'. Des règles de détection Sigma ou YARA pourraient être créées pour identifier les tentatives d'exploitation de cette vulnérabilité, en recherchant des schémas de requêtes de suppression de fichiers contenant des chemins relatifs malveillants.
Actualice Anything LLM a la versión 1.0.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que usuarios no autorizados eliminen archivos y carpetas críticos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-0549 is a Path Traversal vulnerability affecting Anything LLM versions up to 1.0.0, allowing attackers to delete files with default role accounts.
Yes, if you are using Anything LLM version 1.0.0 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade to version 1.0.0 of Anything LLM. As a temporary workaround, restrict access to file deletion endpoints and implement robust input validation.
There is currently no confirmed evidence of active exploitation, but the vulnerability's ease of exploitation suggests it may become a target.
Refer to the mintplex-labs/anything-llm repository on GitHub for updates and advisories related to CVE-2024-0549.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.