Plataforma
nodejs
Componente
anything-llm
Corrigido em
0.7.2
A vulnerabilidade CVE-2024-0455 é uma falha de SSRF (Server-Side Request Forgery) descoberta em AnythingLLM, uma aplicação Node.js. Essa falha permite que usuários com privilégios de administrador (ou em modo de usuário único) acessem informações sensíveis, como credenciais de segurança de instâncias EC2, através da manipulação de URLs. A vulnerabilidade afeta versões do AnythingLLM até a 1.0.0, sendo corrigida na versão 1.0.0.
Um atacante explorando essa vulnerabilidade pode obter acesso irrestrito às credenciais de segurança de instâncias EC2. Isso permite que o atacante assuma o controle da instância, execute comandos com as permissões associadas às credenciais roubadas e potencialmente se mova lateralmente para outros recursos na infraestrutura. O impacto é severo, pois compromete a confidencialidade e a integridade dos dados armazenados e processados pela instância EC2. A exploração bem-sucedida pode levar à exfiltração de dados confidenciais, interrupção de serviços e comprometimento da infraestrutura subjacente. A facilidade de exploração, combinada com o alto impacto, torna esta vulnerabilidade particularmente perigosa.
A vulnerabilidade foi divulgada em 25 de fevereiro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um proof-of-concept público aumenta o risco de exploração oportunista. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento, mas a alta pontuação CVSS indica um risco significativo.
Organizations deploying AnythingLLM within Amazon EC2 environments are particularly at risk. Specifically, environments where manager or admin accounts have been configured with overly permissive access or where security best practices regarding EC2 instance credentials are not strictly enforced are highly vulnerable. Shared hosting environments utilizing AnythingLLM also present a heightened risk.
• nodejs / server:
ps aux | grep 'http://169.254.169.254'• generic web:
curl -I 'http://your-anythingllm-instance/scrape?url=http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance' | grep 'HTTP/1.1 403' # Check for access denieddisclosure
Status do Exploit
EPSS
0.24% (percentil 48%)
Vetor CVSS
A mitigação primária é atualizar para a versão 1.0.0 do AnythingLLM, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente restrições rigorosas de URL para impedir que usuários maliciosos enviem solicitações para URLs não autorizadas. Utilize uma lista de permissões (whitelist) para especificar os domínios e caminhos permitidos. Monitore os logs de acesso e erro em busca de tentativas de exploração, como solicitações para URLs suspeitas, especialmente aquelas que se referem a endpoints de metadados de instâncias EC2. Considere a implementação de um Web Application Firewall (WAF) para bloquear solicitações maliciosas antes que elas atinjam a aplicação.
Atualize AnythingLLM para uma versão posterior a 1.0.0 que contenha a correção para a vulnerabilidade SSRF. Alternativamente, configure regras de firewall ou iptables para bloquear o acesso ao endereço IP 169.254.169.254 a partir da instância EC2.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-0455 is a critical SSRF vulnerability in AnythingLLM versions up to 1.0.0, allowing attackers to access EC2 instance credentials with manager/admin privileges.
You are affected if you are using AnythingLLM version 1.0.0 or earlier and have users with manager or admin roles.
Upgrade to AnythingLLM version 1.0.0 or later. Implement temporary workarounds like restricting access and input validation if immediate upgrade is not possible.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of exploitation.
Refer to the official AnythingLLM project repository or website for the latest security advisories and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.