Platform
nodejs
Component
mintplex-labs/anything-llm
Opgelost in
1.0.1
CVE-2024-0440 beschrijft een ernstige Server-Side Request Forgery (SSRF) kwetsbaarheid in anything-llm, een Node.js bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om via het indienen van een link, bestanden op de server te benaderen. De kwetsbaarheid treft versies van anything-llm tot en met 1.0.0. Een fix is beschikbaar in versie 1.0.0.
Deze SSRF-kwetsbaarheid maakt het mogelijk voor een aanvaller om gevoelige informatie te onthullen die op de server is opgeslagen. Door een link met het file:// protocol in te dienen, kan de aanvaller toegang krijgen tot lokale bestanden, configuratiebestanden en andere gevoelige gegevens. Dit kan leiden tot datalekken, ongeautoriseerde toegang tot systemen en mogelijk zelfs tot het uitvoeren van code op de server, afhankelijk van de bestanden die toegankelijk zijn. De impact is aanzienlijk, aangezien de aanvaller potentieel volledige controle over de server kan verkrijgen.
Deze kwetsbaarheid is openbaar bekend sinds 2024-02-25. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de SSRF-natuur ervan maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database). De EPSS score is momenteel niet bekend, maar gezien de CRITICAL severity en de eenvoud van exploitatie, wordt een medium tot hoge waarschijnlijkheid van exploitatie aangenomen.
Applications utilizing the anything-llm Node.js library in versions prior to 1.0.0 are at risk. This includes applications that process user-supplied URLs without proper validation, particularly those deployed in environments where file system access is not strictly controlled. Shared hosting environments where the application has access to the host's file system are particularly vulnerable.
• nodejs / server:
npm list anything-llm | grep -q '1.0.0' || echo "Vulnerable version detected!" • generic web:
curl -I 'http://your-server/your-endpoint?url=file:///etc/passwd' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Exploit Status
EPSS
0.19% (41% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.0.0 van anything-llm. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren en saneren van alle ingevoerde links om te voorkomen dat het file:// protocol wordt gebruikt. Implementeer een whitelist van toegestane protocollen en blokkeer alle andere. Controleer de configuratie van de applicatie om te verzekeren dat er geen onnodige toegang tot lokale bestanden is. Na de upgrade, verifieer de fix door te proberen een file:// link in te dienen en te controleren of de toegang wordt geweigerd.
Werk de Anything LLM applicatie bij naar versie 1.0.0 of hoger. Deze versie bevat een correctie voor de SSRF-vulnerability die ongeautoriseerde toegang tot systeembestanden voorkomt. De update kan worden uitgevoerd via de npm package manager of door de upgrade-instructies van de leverancier te volgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0440 is a critical SSRF vulnerability in the anything-llm Node.js library, allowing attackers to access host files via the file:// protocol in POST requests.
You are affected if you are using anything-llm versions less than or equal to 1.0.0 and are not validating user-supplied URLs.
Upgrade to version 1.0.0 of anything-llm. If immediate upgrade isn't possible, implement strict input validation to filter out file:// URLs.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest active exploitation is possible.
Refer to the project's repository or website for the official advisory, typically found in the release notes or security announcements.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.