Platform
nodejs
Component
anything-llm
Opgelost in
1.0.1
CVE-2024-0439 beschrijft een autorisatielek in Anything LLM. Hoewel niet kritiek, stelt het aanvallers in staat om instellingen te wijzigen die managers normaal gesproken niet mogen aanpassen. Dit probleem treft versies van Anything LLM tot en met 1.0.0. Een patch is beschikbaar in versie 1.0.0.
Dit autorisatielek maakt het mogelijk voor een aanvaller om, ondanks de verborgen weergave in de gebruikersinterface, instellingen te wijzigen via een standaard HTTP-verzoek. De impact is beperkt tot het potentieel om configuratie-instellingen te manipuleren, wat de functionaliteit of het gedrag van de applicatie kan beïnvloeden. Hoewel de directe impact niet kritiek is, kan het misbruik van deze lekken leiden tot onbedoelde configuratiewijzigingen en mogelijk tot verdere exploitatie als andere kwetsbaarheden aanwezig zijn. Het is belangrijk om te benadrukken dat de verborgen weergave in de UI een valse zekerheid kan geven over de beveiliging van deze instellingen.
Op dit moment is er geen publieke proof-of-concept (POC) beschikbaar voor CVE-2024-0439. De kwetsbaarheid is openbaar gemaakt op 2024-02-25. Het is niet opgenomen in de CISA KEV catalogus. De kans op actieve exploitatie is op dit moment laag, maar het is belangrijk om de kwetsbaarheid te patchen om toekomstige risico's te verminderen.
Organizations utilizing Anything LLM in environments where role-based access control is critical are at risk. This includes deployments where sensitive data is processed or where the LLM's configuration directly impacts critical business operations. Users relying on the integrity of the LLM's settings are also at risk.
disclosure
Exploit Status
EPSS
0.22% (44% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-0439 is het upgraden naar versie 1.0.0 van Anything LLM, waarin de autorisatiebeperkingen correct zijn geïmplementeerd. Als een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de API-endpoints die deze instellingen beheren te beperken met behulp van een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken van niet-geautoriseerde gebruikers te blokkeren. Controleer de HTTP-verzoeken op verdachte patronen die wijzen op pogingen om instellingen te wijzigen. Na de upgrade, bevestig de correcte werking van de autorisatiebeperkingen door te proberen instellingen te wijzigen met een gebruikersaccount dat geen manager rechten heeft.
Actualice a una versión posterior a la 1.0.0 donde se haya corregido la vulnerabilidad. Esto evitará que los usuarios con permisos de 'manager' modifiquen la configuración del sistema directamente a través de peticiones HTTP.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0439 is a vulnerability in Anything LLM that allows unauthorized modification of settings due to a bypass in the authorization mechanism.
You are affected if you are using Anything LLM versions 1.0.0 or earlier.
Upgrade to version 1.0.0 of Anything LLM to remediate the vulnerability. Consider implementing stricter HTTP access controls as an interim measure.
There are currently no known public exploits or active campaigns targeting this CVE.
Refer to the official Anything LLM documentation and release notes for details regarding this vulnerability and the fix.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.