Plateforme
nodejs
Composant
anything-llm
Corrigé dans
1.12.1
Une vulnérabilité de type Path Traversal a été découverte dans le composant AgentFlows de mintplex-labs/anything-llm, affectant les versions jusqu'à 1.9.1. Cette faille permet à un attaquant de contourner les restrictions de répertoire et d'accéder ou de supprimer des fichiers .json arbitraires sur le serveur, compromettant potentiellement des informations sensibles. La vulnérabilité est corrigée dans la version 1.12.1 et il est recommandé de mettre à jour dès que possible.
La vulnérabilité CVE-2026-5627 dans mintplex-labs/anything-llm (versions jusqu'à la 1.9.1) représente un risque important en raison d'une faille de parcours de chemin dans le composant AgentFlows. Cette faille permet aux attaquants d'accéder ou de supprimer des fichiers .json arbitraires sur le serveur, compromettant la confidentialité et l'intégrité des données. La combinaison de path.join et normalizePath dans les méthodes loadFlow et deleteFlow situées dans server/utils/agentFlows/index.js est la cause première, permettant de contourner les restrictions de répertoire. Un attaquant pourrait, par exemple, lire des informations sensibles stockées dans des fichiers de configuration ou supprimer des flux de travail critiques, perturbant le fonctionnement de l'application. La sévérité CVSS de 9.1 indique un risque critique nécessitant une attention immédiate.
La vulnérabilité est exploitée par la manipulation des entrées fournies aux méthodes loadFlow et deleteFlow. Un attaquant peut construire une URL malveillante incluant des séquences de caractères spéciaux qui, lorsqu'elles sont combinées avec path.join et normalizePath, permettent d'accéder à des répertoires en dehors de la portée prévue. Par exemple, en utilisant ../ pour remonter dans la hiérarchie des répertoires. L'absence d'une validation adéquate des entrées utilisateur permet aux attaquants de contourner les protections de sécurité et d'accéder à des fichiers sensibles. L'exploitation nécessite un accès à l'application via une interface web ou une API.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 1.12.1 ou supérieure de mintplex-labs/anything-llm. Cette version corrige la vulnérabilité de parcours de chemin en mettant en œuvre une validation plus robuste des entrées utilisateur avant de les utiliser dans les fonctions path.join et normalizePath. De plus, examinez les configurations de permissions du serveur pour limiter l'accès aux fichiers sensibles. La mise en œuvre d'une politique de sécurité logicielle incluant des tests de sécurité réguliers et une analyse des vulnérabilités peut aider à prévenir les incidents futurs. La surveillance des journaux du serveur à la recherche d'activités suspectes est également une mesure préventive importante.
Actualice el paquete anything-llm a la versión 1.12.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las entradas del usuario, evitando el acceso no autorizado a archivos sensibles en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions de anything-llm jusqu'à la 1.9.1 sont vulnérables à CVE-2026-5627.
Vérifiez la version installée de anything-llm dans votre projet. Si elle est inférieure à 1.12.1, vous êtes vulnérable.
En tant que mesure temporaire, restreignez l'accès aux fichiers .json sensibles sur le serveur et surveillez les journaux à la recherche d'activités suspectes.
Des outils d'analyse de vulnérabilités sont en cours de développement pour détecter cette vulnérabilité. Consultez les sources de sécurité pour obtenir des mises à jour.
CVSS 9.1 indique une vulnérabilité critique avec un degré élevé d'exploitabilité et un impact significatif sur la confidentialité, l'intégrité et la disponibilité du système.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.