Plateforme
javascript
Composant
anything-llm
Corrigé dans
1.11.2
AnythingLLM est une application transformant le contenu en contexte pour les LLM. La version 1.11.1 et antérieures présentent une vulnérabilité XSS dans le pipeline de rendu du chat, qui peut être exploitée pour exécuter du code à distance sur le système d'exploitation hôte. Cette faille exploite une interpolation non sécurisée dans l'attribut alt, sans échappement HTML, et ne nécessite aucune interaction de l'utilisateur au-delà de l'utilisation normale du chat. La mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans la page de chat d'AnythingLLM. En raison d'une configuration Electron non sécurisée, ce code peut s'exécuter avec les privilèges de l'application, permettant ainsi l'exécution de code à distance (RCE) sur le système hôte. L'attaquant pourrait potentiellement compromettre l'ensemble du système, voler des données sensibles, installer des logiciels malveillants ou prendre le contrôle de l'appareil. Le fait que la vulnérabilité puisse être exploitée avec les paramètres par défaut et sans interaction de l'utilisateur augmente considérablement le risque d'exploitation à grande échelle.
La vulnérabilité a été rendue publique le 13 mars 2026. Il n'y a pas d'indication d'une inscription sur KEV ou d'un score EPSS disponible. Des preuves de concept publiques sont susceptibles d'émerger rapidement en raison de la simplicité de l'exploitation. La nature critique de la vulnérabilité et la possibilité d'exécution de code à distance en font une cible attrayante pour les acteurs malveillants.
Users of AnythingLLM Desktop, particularly those handling sensitive data or operating in environments with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same instance of AnythingLLM Desktop are also particularly vulnerable, as an attacker could potentially compromise the entire system.
• javascript / desktop:
Get-Process -Name AnythingLLM | Select-Object -ExpandProperty Path• javascript / desktop: Check for unusual JavaScript files or modifications within the AnythingLLM installation directory. • javascript / desktop: Monitor Electron process network activity for suspicious requests related to image rendering. • javascript / desktop: Examine the application's configuration files for any signs of tampering or unauthorized modifications.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour vers une version corrigée d'AnythingLLM. En attendant, des mesures d'atténuation peuvent être mises en œuvre. Il est crucial de désactiver temporairement les fonctionnalités de rendu Markdown personnalisées si possible. Une analyse approfondie du code source pour identifier et corriger l'interpolation non sécurisée est également recommandée. L'utilisation d'un pare-feu d'application web (WAF) peut aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez l'intégrité de l'installation en effectuant un test de chat avec du contenu contenant des caractères spéciaux pour vous assurer que l'attribut alt est correctement échappé.
Mettez à jour AnythingLLM vers une version ultérieure à la 1.11.1. Cela corrige la vulnérabilité XSS qui peut mener à l'exécution de code à distance. La mise à jour peut être effectuée en téléchargeant la dernière version depuis le site web officiel ou en utilisant le gestionnaire de paquets correspondant.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32626 is a critical vulnerability in AnythingLLM Desktop versions up to 1.11.1 that allows attackers to execute code on the host system through an XSS flaw in the image rendering pipeline.
Yes, if you are using AnythingLLM Desktop version 1.11.1 or earlier, you are vulnerable to this RCE attack.
Upgrade to the latest version of AnythingLLM Desktop as soon as a patch is released. Until then, restrict usage and monitor for suspicious activity.
While active exploitation is not yet confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon. Monitor security advisories for updates.
Refer to the official AnythingLLM project website and security advisories for the latest information and patch releases.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.