mintplex-labs/anything-llm におけるパス・トラバーサル

この脆弱性は、認証された「manager」ロールのユーザーが、/api/document/move-filesエンドポイントを悪用することで発生します。攻撃者はこのエンドポイントを通じて、anythingllm.dbデータベースファイルを公開アクセス可能なディレクトリに移動させることができます。これにより、データベースファイルをダウンロードし、さらに削除することが可能となり、機密情報への不正アクセス、権限昇格、そしてデータ損失につながる可能性があります。攻撃者はデータベースの内容を改ざんしたり、システム設定を不正に変更したりすることも考えられます。この脆弱性は、機密性の高い情報を扱うシステムにおいて、特に深刻な影響を及ぼす可能性があります。

Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.

• nodejs / server:

ps aux | grep anything-llm

• nodejs / server:

find / -name anythingllm.db 2>/dev/null

• generic web:

curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwd

1. 2025-03-20Disclosure

   disclosure

1. 予約済み2024-10-29
2. 公開日2025-03-20
3. EPSS 更新日2026-04-02

この脆弱性への最も効果的な対策は、anything-llmをバージョン1.2.2にアップデートすることです。アップデートが利用できない場合は、/api/document/move-filesエンドポイントへのアクセスを制限するWAFルールを実装することを検討してください。また、データベースファイルanythingllm.dbが公開ディレクトリに配置されないように、ファイルシステムのアクセス権限を適切に設定することが重要です。さらに、データベースファイルのバックアップを定期的に実施し、万が一のデータ損失に備えることを推奨します。