Plataforma
nodejs
Componente
anything-llm
Corrigido em
1.0.1
A vulnerabilidade CVE-2024-0763 é uma falha de path traversal descoberta em Anything LLM, permitindo que um atacante com acesso ao servidor exclua recursivamente pastas remotas. Essa falha é causada por uma sanitização inadequada da entrada, que permite a manipulação de caminhos de arquivos. A vulnerabilidade afeta versões do Anything LLM anteriores ou iguais a 1.0.0, e a correção está disponível na versão 1.0.0.
Um atacante explorando esta vulnerabilidade pode causar danos significativos ao sistema. Ao obter acesso ao servidor com privilégios, o atacante pode usar a falha de path traversal para excluir recursivamente qualquer pasta no sistema de arquivos remoto. Isso pode levar à perda de dados críticos, interrupção de serviços e, potencialmente, ao comprometimento completo do sistema. A exclusão recursiva significa que o atacante pode remover não apenas uma pasta, mas também todo o seu conteúdo, incluindo subpastas e arquivos, tornando a recuperação de dados extremamente difícil ou impossível. A necessidade de acesso ao servidor com privilégios limita o escopo do ataque, mas ainda representa um risco significativo para ambientes onde o controle de acesso é inadequado.
A vulnerabilidade CVE-2024-0763 foi divulgada em 27 de fevereiro de 2024. Atualmente, não há relatos de exploração ativa em campanhas direcionadas, mas a natureza da falha de path traversal a torna um alvo potencial para ataques automatizados. A ausência de um PoC público amplamente divulgado pode indicar um nível de risco menor no curto prazo, mas a vulnerabilidade permanece um risco significativo se não for corrigida. A avaliação de risco deve considerar o nível de acesso que um atacante pode obter ao servidor e a sensibilidade dos dados armazenados.
Organizations deploying Anything LLM in production environments, particularly those with limited access controls or legacy configurations, are at risk. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromised user account could be leveraged to exploit this vulnerability and impact other users.
• nodejs / server:
find /path/to/anything_llm -name '*deleteFolder*' -type f -print0 | xargs -0 grep -i 'path.join' -E '(\.\./)+'• generic web:
curl -I 'http://your-anything-llm-server/deleteFolder?path=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
Status do Exploit
EPSS
0.91% (percentil 76%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-0763 é atualizar para a versão 1.0.0 do Anything LLM, que inclui a correção para a falha de path traversal. Se a atualização imediata não for possível, considere implementar medidas de controle de acesso mais rigorosas para restringir o acesso ao endpoint vulnerável. Implementar regras de firewall para bloquear o acesso não autorizado ao servidor também pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de exclusão de arquivos ou diretórios inesperados. Após a atualização, confirme a correção verificando se a sanitização da entrada está funcionando corretamente e se a exclusão recursiva de pastas não é mais possível.
Actualice Anything LLM a una versión posterior a la 1.0.0. Esto solucionará la vulnerabilidad de path traversal que permite la eliminación arbitraria de carpetas. Consulte el commit 8a7324d0e77a15186e1ad5e5119fca4fb224c39c para más detalles sobre la corrección.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-0763 is a path traversal vulnerability in Anything LLM versions up to 1.0.0, allowing authenticated attackers to delete arbitrary folders on a remote server due to insufficient input sanitization.
If you are using Anything LLM version 1.0.0 or earlier, you are potentially affected by this vulnerability. Assess your server access controls to determine your risk level.
The recommended fix is to upgrade to version 1.0.0 or later. As a temporary workaround, implement stricter input validation on the folder deletion endpoint.
There is currently no confirmed evidence of active exploitation in the wild, but the vulnerability's nature makes it a potential target.
Refer to the official Anything LLM release notes and security advisories on their project repository for the most up-to-date information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.