प्लेटफ़ॉर्म
nodejs
घटक
anything-llm
में ठीक किया गया
0.7.2
CVE-2024-0455 AnythingLLM में एक गंभीर सर्वर-साइड रिक्वेस्ट फोरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति देती है, जैसे कि EC2 इंस्टेंस क्रेडेंशियल। यह भेद्यता AnythingLLM के संस्करण 1.0.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 1.0.0 में इस समस्या का समाधान किया गया है।
यह SSRF भेद्यता किसी भी उपयोगकर्ता को, जिसके पास उचित प्राधिकरण स्तर है (मैनेजर, एडमिन, और सिंगल यूजर मोड में), एक विशेष URL डालने की अनुमति देती है जो केवल EC2 इंस्टेंस के भीतर से अनुरोधों के लिए हल होता है। उदाहरण के लिए, http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance का उपयोग करके, एक हमलावर अपने विशिष्ट इंस्टेंस के कनेक्शन/सीक्रेट क्रेडेंशियल देख सकता है और उन्हें प्रबंधित कर सकता है, भले ही उन्हें किसने तैनात किया हो। यह हमलावर को इंस्टेंस पर अनधिकृत पहुंच और नियंत्रण प्रदान करता है, जिससे डेटा चोरी, कॉन्फ़िगरेशन परिवर्तन और संभावित रूप से अन्य सिस्टम तक पहुंच प्राप्त करने की क्षमता शामिल है। यह भेद्यता विशेष रूप से AWS वातावरण में तैनात AnythingLLM इंस्टेंस के लिए गंभीर है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसे जल्द ही जोड़ा जा सकता है। EPSS स्कोर की प्रतीक्षा है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति को देखते हुए, यह संभावना है कि जल्द ही POC जारी किए जाएंगे। CVE 2024-0455 को 2024-02-25 को प्रकाशित किया गया था।
Organizations deploying AnythingLLM within Amazon EC2 environments are particularly at risk. Specifically, environments where manager or admin accounts have been configured with overly permissive access or where security best practices regarding EC2 instance credentials are not strictly enforced are highly vulnerable. Shared hosting environments utilizing AnythingLLM also present a heightened risk.
• nodejs / server:
ps aux | grep 'http://169.254.169.254'• generic web:
curl -I 'http://your-anythingllm-instance/scrape?url=http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.24% (48% शतमक)
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, तत्काल संस्करण 1.0.0 में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके बाहरी URL तक पहुंच को प्रतिबंधित करने पर विचार करें। किसी भी बाहरी URL को ब्लॉक करें जो EC2 मेटाडेटा सेवा (169.254.169.254) की ओर इशारा करते हैं। इसके अतिरिक्त, सुनिश्चित करें कि AnythingLLM इंस्टेंस पर सख्त एक्सेस नियंत्रण लागू किया गया है, और केवल अधिकृत उपयोगकर्ताओं को ही व्यवस्थापकीय विशेषाधिकारों तक पहुंच है। अपग्रेड के बाद, यह सत्यापित करें कि SSRF हमलों को रोकने के लिए WAF नियम ठीक से काम कर रहे हैं और कोई अनधिकृत अनुरोध नहीं भेजे जा रहे हैं।
AnythingLLM को 1.0.0 से बाद के संस्करण में अपडेट करें जिसमें SSRF भेद्यता के लिए सुधार शामिल है। वैकल्पिक रूप से, EC2 उदाहरण से IP पता 169.254.169.254 तक पहुंच को अवरुद्ध करने के लिए फ़ायरवॉल या iptables नियम कॉन्फ़िगर करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-0455 AnythingLLM में एक SSRF भेद्यता है जो हमलावरों को EC2 इंस्टेंस क्रेडेंशियल प्राप्त करने की अनुमति देती है।
यदि आप AnythingLLM के संस्करण 1.0.0 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
तत्काल संस्करण 1.0.0 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करके बाहरी URL तक पहुंच को प्रतिबंधित करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन भेद्यता की गंभीरता को देखते हुए, यह संभावना है।
आधिकारिक सलाहकार के लिए AnythingLLM के रिलीज़ नोट्स और सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।