Plateforme
nodejs
Composant
anything-llm
Corrigé dans
1.2.2
Une vulnérabilité de traversal de chemin a été découverte dans le module 'gestionnaire de téléchargement de documents' de mintplex-labs/anything-llm. Cette faille permet à des utilisateurs ayant le rôle 'manager' d'accéder et de manipuler le fichier de base de données 'anythingllm.db'. La version affectée est toute version inférieure ou égale à 1.2.2. Une correction est disponible dans la version 1.2.2.
L'exploitation de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de manipuler le fichier de base de données 'anythingllm.db'. En exploitant le point d'entrée vulnérable '/api/document/move-files', l'attaquant peut déplacer ce fichier vers un répertoire accessible publiquement, le télécharger, puis le supprimer. Cela peut entraîner un accès non autorisé à des données sensibles, une escalade de privilèges et une perte potentielle de données. La compromission de la base de données pourrait révéler des informations confidentielles sur les utilisateurs, les configurations et les données traitées par l'application.
La vulnérabilité CVE-2024-10513 a été publiée le 20 mars 2025. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour. Des preuves de concept (PoC) publiques sont susceptibles d'émerger, augmentant le risque d'exploitation. La nature de la vulnérabilité, un traversal de chemin, rend son exploitation relativement simple.
Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.
• nodejs / server:
ps aux | grep anything-llm• nodejs / server:
find / -name anythingllm.db 2>/dev/null• generic web:
curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwddisclosure
Statut de l'Exploit
EPSS
0.27% (percentile 51%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour l'application anything-llm vers la version 1.2.2 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est recommandé de restreindre l'accès au point d'entrée '/api/document/move-files' via un pare-feu d'application web (WAF) ou un proxy inverse. Configurez des règles pour bloquer les requêtes qui tentent de manipuler le chemin d'accès au fichier de base de données. Après la mise à jour, vérifiez l'intégrité du fichier 'anythingllm.db' et assurez-vous qu'il n'a pas été modifié.
Actualice anything-llm a la versión 1.2.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones proporcionadas por el proveedor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-10513 is a Path Traversal vulnerability in mintplex-labs/anything-llm versions 1.2.2 and earlier, allowing attackers to access and manipulate the database file.
You are affected if you are using anything-llm version 1.2.2 or earlier. Upgrade to version 1.2.2 to mitigate the risk.
Upgrade to version 1.2.2 of anything-llm. As a temporary workaround, restrict access to the '/api/document/move-files' endpoint.
As of the current date, there are no reports of active exploitation of CVE-2024-10513.
Refer to the mintplex-labs/anything-llm repository or their official communication channels for the advisory related to CVE-2024-10513.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.