Platform
nodejs
Component
anything-llm
Opgelost in
0.7.2
CVE-2024-0455 is een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in AnythingLLM, een Node.js applicatie. Deze kwetsbaarheid stelt geautoriseerde gebruikers (beheerders, admins en single-user mode) in staat om interne credentials van een EC2-instance in te zien. De kwetsbaarheid treedt op door de web scraper functionaliteit en is verholpen in versie 1.0.0.
Een succesvolle exploitatie van CVE-2024-0455 kan ernstige gevolgen hebben. Aanvallers met beheerdersrechten kunnen de URL http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance gebruiken om de verbinding- en geheime credentials van een EC2-instance in te zien, ongeacht wie de instance heeft geïmplementeerd. Dit geeft de aanvaller de mogelijkheid om de instance te beheren en potentieel gevoelige data te compromitteren of de instance te gebruiken voor verdere aanvallen. De impact is vergelijkbaar met het verkrijgen van root-toegang tot de EC2-instance.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve exploits of campagnes bekend op het moment van schrijven. De CVSS score is 9.9 (CRITICAL), wat duidt op een hoog risico. Er zijn geen KEV-listings bekend voor deze CVE.
Organizations deploying AnythingLLM within Amazon EC2 environments are particularly at risk. Specifically, environments where manager or admin accounts have been configured with overly permissive access or where security best practices regarding EC2 instance credentials are not strictly enforced are highly vulnerable. Shared hosting environments utilizing AnythingLLM also present a heightened risk.
• nodejs / server:
ps aux | grep 'http://169.254.169.254'• generic web:
curl -I 'http://your-anythingllm-instance/scrape?url=http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Exploit Status
EPSS
0.24% (48% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-0455 is het upgraden naar versie 1.0.0 van AnythingLLM. Indien een upgrade momenteel niet mogelijk is, beperk dan de toegang tot de web scraper functionaliteit tot vertrouwde gebruikers. Implementeer een whitelist van toegestane URL's voor de web scraper om te voorkomen dat aanvallers interne resources benaderen. Controleer de configuratie van de applicatie om er zeker van te zijn dat er geen onnodige rechten zijn verleend aan gebruikers. Na de upgrade, bevestig de correcte werking door te controleren of de web scraper functionaliteit niet langer toegang heeft tot interne EC2-credentials.
Actualiseer AnythingLLM naar een versie later dan 1.0.0 die de correctie voor de SSRF-vulnerability bevat. Alternatief, configureer firewall of iptables regels om toegang tot het IP-adres 169.254.169.254 vanaf de EC2 instance te blokkeren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0455 is a critical SSRF vulnerability in AnythingLLM versions up to 1.0.0, allowing attackers to access EC2 instance credentials with manager/admin privileges.
You are affected if you are using AnythingLLM version 1.0.0 or earlier and have users with manager or admin roles.
Upgrade to AnythingLLM version 1.0.0 or later. Implement temporary workarounds like restricting access and input validation if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Refer to the official AnythingLLM project repository or website for the latest security advisories and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.