Platform
nodejs
Component
anything-llm
Opgelost in
1.2.2
CVE-2024-10513 beschrijft een Path Traversal kwetsbaarheid in de 'document uploads manager' functionaliteit van mintplex-labs/anything-llm. Deze kwetsbaarheid stelt gebruikers met de 'manager' rol in staat om de 'anythingllm.db' database te manipuleren en te downloaden, wat kan leiden tot ongeautoriseerde toegang tot gevoelige data. De kwetsbaarheid treft versies van anything-llm tot en met 1.2.2. Een patch is beschikbaar in versie 1.2.2.
Een succesvolle exploitatie van CVE-2024-10513 stelt een aanvaller in staat om de 'anythingllm.db' database te downloaden en te verwijderen. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die in de database is opgeslagen, zoals gebruikersgegevens, configuratie-instellingen en mogelijk andere kritieke data. De aanvaller kan de database naar een publiekelijk toegankelijke directory verplaatsen, waardoor deze eenvoudig kan worden gedownload. Het verwijderen van de database kan leiden tot dataverlies en verstoring van de dienst. Dit soort kwetsbaarheden kunnen ook worden gebruikt voor privilege escalatie, afhankelijk van de data die in de database is opgeslagen en de rechten die de 'manager' rol heeft.
Er is momenteel geen publieke exploitatie van CVE-2024-10513 bekend, maar de kwetsbaarheid is wel opgenomen in de NVD database (gepubliceerd 2025-03-20). De Path Traversal aard van de kwetsbaarheid maakt het potentieel voor misbruik aanzienlijk, vooral in omgevingen waar de 'manager' rol ongecontroleerde toegang heeft. De EPSS score is momenteel niet bekend, maar gezien de potentiële impact en de relatieve eenvoud van exploitatie, is een medium tot hoge waarschijnlijkheid te verwachten.
Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.
• nodejs / server:
ps aux | grep anything-llm• nodejs / server:
find / -name anythingllm.db 2>/dev/null• generic web:
curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwddisclosure
Exploit Status
EPSS
0.27% (51% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-10513 is het upgraden naar versie 1.2.2 van anything-llm. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de '/api/document/move-files' endpoint. Implementeer een Web Application Firewall (WAF) met regels die path traversal pogingen detecteren en blokkeren. Controleer de configuratie van de applicatie om te zorgen dat uploads beperkt zijn tot specifieke, veilige locaties. Na de upgrade, verifieer de fix door te proberen de database te downloaden via de '/api/document/move-files' endpoint; dit zou nu moeten falen.
Actualice anything-llm a la versión 1.2.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones proporcionadas por el proveedor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-10513 is a Path Traversal vulnerability in mintplex-labs/anything-llm versions 1.2.2 and earlier, allowing attackers to access and manipulate the database file.
You are affected if you are using anything-llm version 1.2.2 or earlier. Upgrade to version 1.2.2 to mitigate the risk.
Upgrade to version 1.2.2 of anything-llm. As a temporary workaround, restrict access to the '/api/document/move-files' endpoint.
As of the current date, there are no reports of active exploitation of CVE-2024-10513.
Refer to the mintplex-labs/anything-llm repository or their official communication channels for the advisory related to CVE-2024-10513.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.