प्लेटफ़ॉर्म
nodejs
घटक
anything-llm
में ठीक किया गया
1.2.2
CVE-2024-10513 एक पथ पारगमन भेद्यता है जो mintplex-labs/anything-llm के 'दस्तावेज़ अपलोड प्रबंधक' सुविधा में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत पहुंच प्राप्त करने और डेटा में हेरफेर करने की अनुमति देती है। यह भेद्यता संस्करण 1.2.2 से पहले के anything-llm के संस्करणों को प्रभावित करती है, और इसे संस्करण 1.2.2 में ठीक कर दिया गया है।
यह भेद्यता हमलावरों को '/api/document/move-files' एंडपॉइंट का शोषण करके 'anythingllm.db' डेटाबेस फ़ाइल तक पहुंचने और उसे सार्वजनिक रूप से सुलभ निर्देशिका में स्थानांतरित करने की अनुमति देती है। इसके बाद, वे फ़ाइल को डाउनलोड कर सकते हैं और उसे हटा सकते हैं। इससे संवेदनशील डेटा तक अनधिकृत पहुंच, विशेषाधिकारों का उन्नयन और संभावित डेटा हानि हो सकती है। हमलावर डेटाबेस को दूषित करके या महत्वपूर्ण जानकारी निकालकर सिस्टम को भी बाधित कर सकते हैं। इस भेद्यता का शोषण डेटा गोपनीयता और सिस्टम अखंडता के लिए गंभीर खतरा पैदा करता है।
CVE-2024-10513 को अभी तक KEV में शामिल नहीं किया गया है। EPSS स्कोर की जानकारी उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन पथ पारगमन भेद्यताओं का इतिहास दर्शाता है कि इसका शोषण किया जा सकता है। यह भेद्यता 2025-03-20 को प्रकाशित हुई थी।
Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.
• nodejs / server:
ps aux | grep anything-llm• nodejs / server:
find / -name anythingllm.db 2>/dev/null• generic web:
curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.27% (51% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-10513 के लिए प्राथमिक शमन उपाय anything-llm को संस्करण 1.2.2 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके '/api/document/move-files' एंडपॉइंट तक पहुंच को प्रतिबंधित किया जा सकता है। इसके अतिरिक्त, फ़ाइल अपलोड और हेरफेर से संबंधित सभी इनपुट को मान्य करना और सैनिटाइज करना महत्वपूर्ण है। सुनिश्चित करें कि 'anythingllm.db' डेटाबेस फ़ाइल सार्वजनिक रूप से सुलभ निर्देशिकाओं में संग्रहीत नहीं है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, '/api/document/move-files' एंडपॉइंट पर एक परीक्षण अनुरोध भेजकर और यह सुनिश्चित करके कि फ़ाइल को सार्वजनिक रूप से सुलभ निर्देशिका में स्थानांतरित नहीं किया जा सकता है।
Actualice anything-llm a la versión 1.2.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones proporcionadas por el proveedor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-10513 mintplex-labs/anything-llm के 'दस्तावेज़ अपलोड प्रबंधक' सुविधा में एक पथ पारगमन भेद्यता है, जो हमलावरों को डेटाबेस फ़ाइल तक पहुंचने की अनुमति देती है।
यदि आप anything-llm के संस्करण 1.2.2 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
anything-llm को संस्करण 1.2.2 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो WAF का उपयोग करके पहुंच को प्रतिबंधित करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन पथ पारगमन भेद्यताओं का इतिहास शोषण की संभावना को दर्शाता है।
आधिकारिक सलाहकार के लिए mintplex-labs की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।