प्लेटफ़ॉर्म
javascript
घटक
anything-llm
में ठीक किया गया
1.11.2
AnythingLLM एक एप्लिकेशन है जो सामग्री के टुकड़ों को संदर्भ में बदलता है जिसका उपयोग LLM चैट के दौरान संदर्भ के रूप में कर सकते हैं। CVE-2026-32626 AnythingLLM के संस्करण 1.11.1 और उससे पहले में एक स्ट्रीमिंग फेज XSS भेद्यता है। यह भेद्यता असुरक्षित Electron कॉन्फ़िगरेशन के कारण रिमोट कोड एग्जीक्यूशन (RCE) की अनुमति देती है। इस भेद्यता को ठीक करने के लिए, नवीनतम संस्करण में अपडेट करें।
यह XSS भेद्यता हमलावर को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है जो उपयोगकर्ता के ब्राउज़र में निष्पादित होती है। चूंकि यह भेद्यता असुरक्षित Electron कॉन्फ़िगरेशन के कारण RCE की ओर ले जाती है, इसलिए हमलावर सिस्टम पर मनमाना कोड निष्पादित कर सकता है, संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, या सिस्टम को पूरी तरह से नियंत्रित कर सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह डिफ़ॉल्ट सेटिंग्स के साथ काम करती है और सामान्य चैट उपयोग से परे किसी भी उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है। हमलावर आसानी से दुर्भावनापूर्ण लिंक या स्क्रिप्ट इंजेक्ट कर सकता है जो उपयोगकर्ता के इंटरैक्शन पर निर्भर नहीं करता है।
यह भेद्यता अभी भी अपेक्षाकृत नई है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषणों की संभावना को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने का खतरा है। CVE को 2026-03-13 को प्रकाशित किया गया था। इस भेद्यता का शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) की रिपोर्ट नहीं मिली है, लेकिन इसकी गंभीरता और RCE क्षमता को देखते हुए, यह संभावित रूप से शोषण के लिए एक लक्ष्य बन सकता है।
Users of AnythingLLM Desktop, particularly those handling sensitive data or operating in environments with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same instance of AnythingLLM Desktop are also particularly vulnerable, as an attacker could potentially compromise the entire system.
• javascript / desktop:
Get-Process -Name AnythingLLM | Select-Object -ExpandProperty Path• javascript / desktop: Check for unusual JavaScript files or modifications within the AnythingLLM installation directory. • javascript / desktop: Monitor Electron process network activity for suspicious requests related to image rendering. • javascript / desktop: Examine the application's configuration files for any signs of tampering or unauthorized modifications.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने का प्राथमिक तरीका AnythingLLM को नवीनतम संस्करण में अपडेट करना है, जिसमें सुरक्षा पैच शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो Electron कॉन्फ़िगरेशन को मजबूत करने के लिए अस्थायी उपाय किए जा सकते हैं, जैसे कि कंटेंट सिक्योरिटी पॉलिसी (CSP) को लागू करना। CSP ब्राउज़र को केवल विश्वसनीय स्रोतों से संसाधनों को लोड करने की अनुमति देकर XSS हमलों को कम करने में मदद करता है। इसके अतिरिक्त, इनपुट को सैनिटाइज करना और आउटपुट को एन्कोड करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि दुर्भावनापूर्ण स्क्रिप्ट को निष्पादित होने से रोका जा सके।
AnythingLLM को 1.11.1 के बाद के संस्करण में अपडेट करें। यह XSS भेद्यता को ठीक करता है जो रिमोट कोड एग्जीक्यूशन की ओर ले जा सकती है। अपडेट आधिकारिक वेबसाइट से नवीनतम संस्करण डाउनलोड करके या संबंधित पैकेज मैनेजर का उपयोग करके किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-32626 AnythingLLM के संस्करण 1.11.1 और उससे पहले में एक XSS भेद्यता है जो रिमोट कोड एग्जीक्यूशन (RCE) की ओर ले जा सकती है।
यदि आप AnythingLLM के संस्करण 1.11.1 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
भेद्यता को ठीक करने के लिए नवीनतम संस्करण में AnythingLLM को अपडेट करें।
CVE-2026-32626 के सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन इसकी गंभीरता को देखते हुए, इसका शोषण किए जाने का खतरा है।
आधिकारिक सलाहकार के लिए AnythingLLM के सुरक्षा नोटिस अनुभाग की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।