CRITICALCVE-2024-0440CVSS 9.6

SSRF - file:// によるアンセニタイズドなホストファイルへのアクセス

プラットフォーム

nodejs

コンポーネント

mintplex-labs/anything-llm

修正版

1.0.1

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-0440は、anything-llmのバージョン1.0.0以前に存在するSSRF（Server-Side Request Forgery）脆弱性です。この脆弱性を悪用されると、攻撃者はリンクをPOST送信することで、サーバーが内部ファイルシステムを読み取ることが可能になります。影響を受けるバージョンは1.0.0以前であり、バージョン1.0.0へのアップデートでこの問題は解決されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者にとって非常に危険です。攻撃者は、ファイルシステム内の機密情報（APIキー、パスワード、設定ファイルなど）を盗み出す可能性があります。さらに、内部ネットワークへのアクセスを試み、他のシステムへの攻撃の足がかりにすることも考えられます。ファイルシステムへのアクセス権限を持つ攻撃者は、システム全体の機密性を脅かすことになります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御につながる可能性があります。

悪用の状況

この脆弱性は、2024年2月25日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は確認されていません。攻撃者による悪用が確認されるまでは、積極的な監視と対策が必要です。

リスク対象者翻訳中…

Applications utilizing the anything-llm Node.js library in versions prior to 1.0.0 are at risk. This includes applications that process user-supplied URLs without proper validation, particularly those deployed in environments where file system access is not strictly controlled. Shared hosting environments where the application has access to the host's file system are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list anything-llm | grep -q '1.0.0' || echo "Vulnerable version detected!"

• generic web:

  curl -I 'http://your-server/your-endpoint?url=file:///etc/passwd' | grep 'HTTP/1.1 403' # Check for access denied

攻撃タイムライン

2024-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.19% (41% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmintplex-labs/anything-llm

ベンダーmintplex-labs

影響範囲修正版

0.1.0 – 1.0.01.0.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-01-11
公開日2024-02-25
更新日2024-08-28
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、anything-llmをバージョン1.0.0にアップデートすることです。アップデートがすぐに利用できない場合、入力検証を強化し、file://プロトコルを使用したリクエストをブロックするWAF（Web Application Firewall）ルールを実装することを検討してください。また、ファイルシステムへのアクセス権限を最小限に抑え、不要なファイルへのアクセスを制限することも重要です。アップデート後、バージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法

Anything LLM アプリケーションをバージョン 1.0.0 以降にアップデートしてください。このバージョンには、SSRF の脆弱性に対する修正が含まれており、システムファイルへの不正アクセスを防ぎます。アップデートは、npm パッケージマネージャーを使用するか、プロバイダーが提供するアップデート手順に従って実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-0440 — SSRF in anything-llmとは何ですか？

CVE-2024-0440は、anything-llmのバージョン1.0.0以前に存在するSSRF脆弱性で、攻撃者が内部ファイルシステムにアクセスできる可能性があります。

CVE-2024-0440 in anything-llmの影響はありますか？

はい、バージョン1.0.0以前を使用している場合、攻撃者によって機密情報が漏洩されるリスクがあります。

CVE-2024-0440 in anything-llmを修正するにはどうすればよいですか？

anything-llmをバージョン1.0.0にアップデートすることで修正できます。

CVE-2024-0440は積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、SSRF脆弱性は悪用が容易であるため、注意が必要です。

CVE-2024-0440に関するanything-llmの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、anything-llmのプロジェクトリポジトリまたは関連するセキュリティ情報サイトで確認してください。