Plataforma
nodejs
Componente
mintplex-labs/anything-llm
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-0440 é uma falha de Server-Side Request Forgery (SSRF) identificada no componente anything-llm. Um atacante, com permissão para enviar um link (via POST) que utiliza o protocolo file://, pode explorar essa falha para acessar e ler arquivos sensíveis armazenados no sistema. Essa vulnerabilidade afeta versões do anything-llm anteriores ou iguais a 1.0.0 e foi corrigida na versão 1.0.0.
A exploração bem-sucedida da CVE-2024-0440 permite que um atacante acesse arquivos confidenciais no servidor. Isso pode incluir arquivos de configuração, chaves de API, dados de usuários e outros dados sensíveis. O atacante pode usar essa informação para comprometer ainda mais o sistema, obter acesso não autorizado a recursos internos ou até mesmo executar código malicioso. A capacidade de ler arquivos do sistema através do protocolo file:// amplia significativamente o potencial de impacto dessa vulnerabilidade, permitindo a descoberta de informações críticas que poderiam ser usadas em ataques subsequentes.
A vulnerabilidade foi divulgada em 25 de fevereiro de 2024. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da redação. A existência de um Proof of Concept (PoC) público pode aumentar a probabilidade de exploração.
Applications utilizing the anything-llm Node.js library in versions prior to 1.0.0 are at risk. This includes applications that process user-supplied URLs without proper validation, particularly those deployed in environments where file system access is not strictly controlled. Shared hosting environments where the application has access to the host's file system are particularly vulnerable.
• nodejs / server:
npm list anything-llm | grep -q '1.0.0' || echo "Vulnerable version detected!" • generic web:
curl -I 'http://your-server/your-endpoint?url=file:///etc/passwd' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Status do Exploit
EPSS
0.19% (percentil 41%)
Vetor CVSS
A mitigação primária para a CVE-2024-0440 é atualizar para a versão 1.0.0 do anything-llm. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à funcionalidade de envio de links, validar e sanitizar rigorosamente todas as entradas de URL para evitar o uso do protocolo file://. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que utilizam o protocolo file:// também pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de tentativas de acesso a arquivos não autorizados.
Atualize a aplicação Anything LLM para a versão 1.0.0 ou posterior. Esta versão contém uma correção para a vulnerabilidade SSRF que impede o acesso não autorizado a arquivos do sistema. A atualização pode ser realizada através do gerenciador de pacotes npm ou seguindo as instruções de atualização fornecidas pelo fornecedor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-0440 is a critical SSRF vulnerability in the anything-llm Node.js library, allowing attackers to access host files via the file:// protocol in POST requests.
You are affected if you are using anything-llm versions less than or equal to 1.0.0 and are not validating user-supplied URLs.
Upgrade to version 1.0.0 of anything-llm. If immediate upgrade isn't possible, implement strict input validation to filter out file:// URLs.
While no public exploits are currently known, the CRITICAL severity and ease of exploitation suggest active exploitation is possible.
Refer to the project's repository or website for the official advisory, typically found in the release notes or security announcements.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.