Platform
nodejs
Component
anything-llm
Opgelost in
1.0.1
CVE-2024-0763 beschrijft een path traversal kwetsbaarheid in Anything LLM, waardoor een aanvaller mogelijk recursief willekeurige mappen op een externe server kan verwijderen. Deze kwetsbaarheid treedt op door onvoldoende inputvalidatie. De kwetsbaarheid beïnvloedt versies van Anything LLM tot en met 1.0.0. Een fix is beschikbaar in versie 1.0.0.
Deze path traversal kwetsbaarheid stelt een aanvaller in staat om, met de juiste privileges, willekeurige bestanden en mappen op de server te verwijderen. Dit kan leiden tot dataverlies, verstoring van de dienstverlening en mogelijk compromittering van de gehele server. Het recursieve karakter van de verwijdering verergert de impact, omdat een enkele succesvolle exploit de hele directory structuur kan vernietigen. De vereiste van autorisatie voor het endpoint beperkt de directe impact, maar een aanvaller die al enige vorm van toegang heeft, kan deze kwetsbaarheid misbruiken.
Deze kwetsbaarheid is openbaar bekend sinds 27 februari 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de complexiteit van de exploitatie is relatief laag, wat het risico verhoogt. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. De CVSS score van 8.1 (HIGH) geeft een significant risico aan.
Organizations deploying Anything LLM in production environments, particularly those with limited access controls or legacy configurations, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability and impact other users.
• nodejs / server:
find /path/to/anything_llm -name '*deleteFolder*' -type f -print0 | xargs -0 grep -i 'path.join' -E '(\.\./)+'• generic web:
curl -I 'http://your-anything-llm-server/deleteFolder?path=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
Exploit Status
EPSS
0.91% (76% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 1.0.0 van Anything LLM, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot het endpoint waar de kwetsbaarheid zich bevindt. Implementeer strenge inputvalidatie op alle endpoints die gebruikersinvoer verwerken, om path traversal aanvallen te voorkomen. Monitor logbestanden op verdachte activiteiten, zoals pogingen tot het verwijderen van bestanden of mappen.
Actualice Anything LLM a una versión posterior a la 1.0.0. Esto solucionará la vulnerabilidad de path traversal que permite la eliminación arbitraria de carpetas. Consulte el commit 8a7324d0e77a15186e1ad5e5119fca4fb224c39c para más detalles sobre la corrección.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-0763 is a path traversal vulnerability in Anything LLM versions up to 1.0.0, allowing authenticated attackers to delete arbitrary folders on a remote server due to insufficient input sanitization.
If you are using Anything LLM version 1.0.0 or earlier, you are potentially affected by this vulnerability. Assess your server access controls to determine your risk level.
The recommended fix is to upgrade to version 1.0.0 or later. As a temporary workaround, implement stricter input validation on the folder deletion endpoint.
There is currently no confirmed evidence of active exploitation in the wild, but the vulnerability's nature makes it a potential target.
Refer to the official Anything LLM release notes and security advisories on their project repository for the most up-to-date information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.