Platform
nodejs
Component
anything-llm
Opgelost in
1.0.1
CVE-2024-0549 beschrijft een Path Traversal kwetsbaarheid in de mintplex-labs/anything-llm applicatie. Deze kwetsbaarheid stelt ongeautoriseerde aanvallers in staat om bestanden en mappen te verwijderen, wat kan leiden tot dataverlies en verstoring van de dienst. De kwetsbaarheid treft versies van Anything LLM tot en met 1.0.0. Een fix is beschikbaar in versie 1.0.0.
Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden en mappen binnen het bestandssysteem te verwijderen. Dit omvat kritieke databasebestanden zoals 'anythingllm.db', wat resulteert in dataverlies en de onbruikbaarheid van de applicatie. De impact is aanzienlijk, aangezien de aanvaller de integriteit en beschikbaarheid van de dienst kan compromitteren. Het feit dat de kwetsbaarheid kan worden uitgebuit met een standaard rol account verlaagt de drempel voor exploitatie verder. Dit soort kwetsbaarheden kunnen leiden tot een cascade van problemen, waarbij de aanvaller toegang kan krijgen tot gevoelige informatie en de applicatie volledig kan uitschakelen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de Path Traversal aard maakt het een aantrekkelijk doelwit voor aanvallers. De kwetsbaarheid is gepubliceerd op 2024-04-16 via NVD.
Organizations deploying Anything LLM with default role accounts are at immediate risk. Shared hosting environments where multiple users share the same application instance are particularly vulnerable, as an attacker could potentially compromise the entire environment. Legacy configurations that haven't been updated to the latest security patches are also at increased risk.
• nodejs / server:
ps aux | grep anything-llm
find / -name 'anythingllm.db' 2>/dev/null• generic web:
curl -I http://<your-anything-llm-server>/delete?path=../etc/passwd• generic web:
grep -r "../" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.25% (48% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-0549 is het upgraden naar versie 1.0.0 van Anything LLM. Indien een directe upgrade niet mogelijk is, overweeg dan om de rechten van de standaard rol account te beperken om de potentiële impact te verminderen. Implementeer strikte input validatie en normalisatie in alle file en folder deletion requests om verdere path traversal aanvallen te voorkomen. Monitor logbestanden op verdachte activiteiten, zoals ongebruikelijke bestandstoegangspogingen of verwijderingen.
Actualice Anything LLM a la versión 1.0.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización evitará que usuarios no autorizados eliminen archivos y carpetas críticos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0549 is a Path Traversal vulnerability affecting Anything LLM versions up to 1.0.0, allowing attackers to delete files with default role accounts.
Yes, if you are using Anything LLM version 1.0.0 or earlier, you are vulnerable to this Path Traversal attack.
Upgrade to version 1.0.0 of Anything LLM. As a temporary workaround, restrict access to file deletion endpoints and implement robust input validation.
There is currently no confirmed evidence of active exploitation, but the vulnerability's ease of exploitation suggests it may become a target.
Refer to the mintplex-labs/anything-llm repository on GitHub for updates and advisories related to CVE-2024-0549.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.