CRITICALCVE-2026-5627CVSS 9.1

mintplex-labs/anything-llm におけるパス・トラバーサル

Q: anything-llm の CVE-2026-5627 を修正するにはどうすればよいですか？

一時的な措置として、サーバー上の機密の `.json` ファイルへのアクセスを制限し、ログに疑わしいアクティビティがないか監視してください。

プラットフォーム

nodejs

コンポーネント

anything-llm

修正版

1.12.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-5627 represents a path traversal vulnerability discovered in mintplex-labs/anything-llm versions prior to 1.12.1, specifically within the AgentFlows component. This flaw allows attackers to bypass directory restrictions by manipulating user input, enabling unauthorized access or deletion of sensitive files. The vulnerability impacts versions up to 1.12.1 and a patch is available in version 1.12.1.

影響と攻撃シナリオ

mintplex-labs/anything-llm (バージョン 1.9.1 以前) の CVE-2026-5627 は、AgentFlows コンポーネント内のパス・トラバーサル脆弱性により重大なリスクをもたらします。この脆弱性を悪用すると、攻撃者はサーバー上の任意の .json ファイルにアクセスまたは削除できるようになり、データの機密性と整合性が損なわれる可能性があります。server/utils/agentFlows/index.js 内の loadFlow および deleteFlow メソッドにおける path.join と normalizePath の組み合わせが根本原因であり、ディレクトリ制限を回避できます。たとえば、攻撃者は設定ファイルに保存されている機密情報を読み取ったり、重要なワークフローを削除したりして、アプリケーションの機能を妨害する可能性があります。CVSS の深刻度スコア 9.1 は、緊急の対応が必要な重大なリスクを示しています。

悪用の状況

この脆弱性は、loadFlow および deleteFlow メソッドに提供される入力の操作によって悪用されます。攻撃者は、path.join および normalizePath と組み合わせると、意図された範囲外のディレクトリにアクセスできる特殊文字を含む悪意のある URL を作成できます。たとえば、../ を使用してディレクトリ階層を上に移動します。適切な入力検証の欠如により、攻撃者はセキュリティ保護を回避し、機密ファイルにアクセスできるようになります。この脆弱性の悪用には、Web インターフェースまたは API を介したアプリケーションへのアクセスが必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート4 件の脅威レポート

EPSS

0.04% (13% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントanything-llm

ベンダーmintplex-labs

影響範囲修正版

unspecified – 1.9.11.12.1

弱点分類 (CWE)

CWE-29

タイムライン

予約済み2026-04-05
公開日2026-04-07
EPSS 更新日2026-04-15

緩和策と回避策

推奨される解決策は、mintplex-labs/anything-llm をバージョン 1.12.1 以降にアップグレードすることです。このバージョンは、path.join および normalizePath 関数で使用する前に、ユーザー入力をより堅牢に検証することで、パス・トラバーサル脆弱性を修正します。さらに、サーバーのアクセス許可構成を確認して、機密ファイルへのアクセスを制限します。定期的なセキュリティテストと脆弱性スキャンを含むソフトウェアセキュリティポリシーを実装することで、将来のインシデントを防止できます。サーバーログを監視して疑わしいアクティビティを検出することも重要な予防策です。

修正方法翻訳中…

Actualice el paquete anything-llm a la versión 1.12.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las entradas del usuario, evitando el acceso no autorizado a archivos sensibles en el servidor.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5627 とは何ですか？（anything-llm の Path Traversal）

anything-llm のバージョン 1.9.1 以前は、CVE-2026-5627 に脆弱です。

anything-llm の CVE-2026-5627 による影響を受けていますか？

プロジェクトでインストールされている anything-llm のバージョンを確認してください。バージョンが 1.12.1 未満の場合、脆弱です。

anything-llm の CVE-2026-5627 を修正するにはどうすればよいですか？

一時的な措置として、サーバー上の機密の .json ファイルへのアクセスを制限し、ログに疑わしいアクティビティがないか監視してください。

CVE-2026-5627 は積極的に悪用されていますか？

この脆弱性を検出するために、脆弱性スキャンツールが開発されています。最新情報については、セキュリティリソースを確認してください。

CVE-2026-5627 に関する anything-llm の公式アドバイザリはどこで確認できますか？

CVSS 9.1 は、高い悪用可能性とシステム機密性、整合性、可用性への重大な影響を持つ、重大な脆弱性を示します。