Plataforma
nodejs
Componente
anything-llm
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-0439 em Anything LLM permite que usuários com tokens de autenticação modifiquem configurações que deveriam ser restritas a administradores. Apesar de não ser considerada crítica, essa falha de permissão compromete a integridade das configurações do sistema. A vulnerabilidade afeta versões do Anything LLM anteriores ou iguais a 1.0.0 e foi corrigida na versão 1.0.0.
Um atacante pode explorar essa vulnerabilidade para alterar configurações críticas do Anything LLM, mesmo sem as permissões adequadas. Isso pode levar a alterações no comportamento do sistema, exposição de dados sensíveis ou até mesmo a uma tomada de controle parcial do ambiente. A ausência de controles de acesso adequados permite que um usuário mal-intencionado, com acesso a um token válido, contorne as restrições de permissão implementadas na interface do usuário, modificando configurações que deveriam ser protegidas. A extensão do impacto depende da natureza das configurações modificáveis e do acesso que o atacante obtém através dessas alterações.
A vulnerabilidade foi divulgada em 25 de fevereiro de 2024. Não há evidências de exploração ativa em campanhas direcionadas, mas a existência de um bypass de permissão pode ser explorada por atacantes com conhecimento do sistema. A ausência de um KEV listing indica um risco considerado moderado, mas a facilidade de exploração justifica a aplicação imediata da correção.
Organizations utilizing Anything LLM in environments where role-based access control is critical are at risk. This includes deployments where sensitive data is processed or where the LLM's configuration directly impacts critical business operations. Users relying on the integrity of the LLM's settings are also at risk.
disclosure
Status do Exploit
EPSS
0.22% (percentil 44%)
Vetor CVSS
A mitigação primária para CVE-2024-0439 é a atualização para a versão 1.0.0 do Anything LLM, que corrige a falha de permissão. Enquanto a atualização não for possível, implemente medidas de segurança adicionais, como a revisão rigorosa dos logs de acesso para identificar atividades suspeitas e a restrição do acesso a endpoints de configuração. Considere a implementação de regras em um Web Application Firewall (WAF) para bloquear requisições HTTP não autorizadas para esses endpoints. Após a atualização, confirme a correção verificando se os usuários sem as permissões de administrador não conseguem mais modificar as configurações restritas.
Actualice a una versión posterior a la 1.0.0 donde se haya corregido la vulnerabilidad. Esto evitará que los usuarios con permisos de 'manager' modifiquen la configuración del sistema directamente a través de peticiones HTTP.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-0439 is a vulnerability in Anything LLM that allows unauthorized modification of settings due to a bypass in the authorization mechanism.
You are affected if you are using Anything LLM versions 1.0.0 or earlier.
Upgrade to version 1.0.0 of Anything LLM to remediate the vulnerability. Consider implementing stricter HTTP access controls as an interim measure.
There are currently no known public exploits or active campaigns targeting this CVE.
Refer to the official Anything LLM documentation and release notes for details regarding this vulnerability and the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.