Plateforme
nodejs
Composant
anything-llm
Corrigé dans
1.0.1
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans la fonctionnalité de lien de téléchargement de mintplex-labs/anything-llm. Cette faille, exploitée via l'API Collector interne, permet à un attaquant d'effectuer des actions non autorisées, telles que la suppression de fichiers. Elle affecte les versions de Anything LLM inférieures ou égales à 1.0.0. Une version corrigée (1.0.0) est disponible.
Cette vulnérabilité SSRF permet à un attaquant d'exploiter la fonctionnalité de lien de téléchargement pour effectuer des actions malveillantes. L'attaquant peut héberger un site web malicieux et l'utiliser pour scanner les ports internes, accéder à des applications web internes non exposées publiquement et interagir avec l'API Collector. Cette interaction peut conduire à des actions non autorisées, telles que la suppression arbitraire de fichiers et une inclusion locale de fichiers limitée. Le risque est élevé car l'attaquant peut potentiellement compromettre l'intégrité des données et la sécurité du système.
Cette vulnérabilité a été rendue publique le 6 juin 2024. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la sévérité CRITICAL et la simplicité de l'exploitation potentielle justifient une attention particulière. Il n'est pas listé sur KEV pour le moment. Un PoC public pourrait être développé rapidement en raison de la nature de la vulnérabilité.
Organizations utilizing Anything LLM, particularly those with manager or admin roles enabled and the upload link feature active, are at significant risk. Shared hosting environments where multiple users have access to the Anything LLM instance are especially vulnerable, as a compromised account could impact all users on the server.
• nodejs: Monitor process execution for unusual network connections originating from the Anything LLM process. Use lsof or netstat to identify connections to internal IP addresses.
lsof -i -p $(pidof anything-llm)• nodejs: Examine application logs for requests to internal resources or unusual URLs. Look for patterns indicative of port scanning or attempts to access sensitive endpoints.
grep -i 'internal_ip_address|malicious_url' /var/log/anything-llm.log• generic web: Monitor access logs for requests originating from the Anything LLM server to internal IP addresses or unusual domains.
grep '127.0.0.1|192.168.1.1' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour vers la version 1.0.0 d'Anything LLM, qui corrige cette vulnérabilité. En attendant, il est fortement recommandé de désactiver temporairement la fonctionnalité de lien de téléchargement si elle n'est pas essentielle. Si la mise à jour n'est pas immédiatement possible, restreindre l'accès à l'API Collector via des règles de pare-feu ou de proxy peut aider à limiter l'impact potentiel. Vérifiez après la mise à jour que la fonctionnalité de lien de téléchargement ne permet plus l'accès à des ressources internes non autorisées.
Mettez à jour Anything LLM à la version 1.0.0 ou ultérieure. Cette version contient une correction pour la vulnérabilité SSRF dans la fonctionnalité de lien de téléchargement. La mise à jour atténuera le risque qu'un attaquant effectue des scans de ports internes, accède à des applications web internes non exposées publiquement ou interagit avec l'API Collector de manière non autorisée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-3149 décrit une vulnérabilité SSRF (Server-Side Request Forgery) dans Anything LLM, permettant à un attaquant d'accéder à des ressources internes et d'effectuer des actions non autorisées.
Oui, si vous utilisez Anything LLM version 1.0.0 ou inférieure, vous êtes affecté par cette vulnérabilité.
La solution est de mettre à jour vers la version 1.0.0 d'Anything LLM. En attendant, désactivez la fonctionnalité de lien de téléchargement.
Il n'y a pas d'indication d'une exploitation active à ce jour, mais la sévérité CRITICAL justifie une action rapide.
Consultez le dépôt GitHub de mintplex-labs/anything-llm pour les informations et les mises à jour concernant cette vulnérabilité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.