Plataforma
nodejs
Componente
anything-llm
Corrigido em
1.2.2
Uma vulnerabilidade de Path Traversal foi descoberta no componente 'document uploads manager' do anything-llm, desenvolvido pela mintplex-labs. Essa falha permite que usuários com o papel de 'manager' acessem e manipulem o arquivo de banco de dados 'anythingllm.db'. A exploração bem-sucedida pode resultar em acesso não autorizado a dados confidenciais e potencial perda de dados, afetando versões até 1.2.2. A correção está disponível na versão 1.2.2.
A vulnerabilidade de Path Traversal em anything-llm permite que um atacante, com privilégios de 'manager', explore o endpoint '/api/document/move-files' para mover o arquivo de banco de dados 'anythingllm.db' para um diretório publicamente acessível. Isso possibilita o download do arquivo, expondo informações sensíveis armazenadas nele, como credenciais de usuários, dados de configuração ou informações de treinamento do modelo de linguagem. Após o download, o atacante pode excluir o arquivo, causando interrupção do serviço e potencial perda de dados. A gravidade da vulnerabilidade reside na possibilidade de acesso não autorizado a dados críticos e na facilidade de exploração, uma vez que o atacante precisa apenas de privilégios de 'manager'.
A vulnerabilidade CVE-2024-10513 foi publicada em 20 de março de 2025. Não há indicações de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a facilidade de exploração e o potencial impacto tornam importante a aplicação imediata da correção. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) público não diminui a necessidade de mitigação, pois a vulnerabilidade é relativamente simples de explorar.
Organizations utilizing mintplex-labs/anything-llm in production environments, particularly those with deployments where the 'manager' role has broad access privileges, are at risk. Shared hosting environments where multiple users share the same instance of anything-llm are also particularly vulnerable.
• nodejs / server:
ps aux | grep anything-llm• nodejs / server:
find / -name anythingllm.db 2>/dev/null• generic web:
curl -I http://your-anythingllm-server/api/document/move-files?path=../../../../etc/passwddisclosure
Status do Exploit
EPSS
0.27% (percentil 51%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-10513 é a atualização imediata para a versão 1.2.2 do anything-llm. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao endpoint '/api/document/move-files' através de um Web Application Firewall (WAF) ou proxy reverso, configurando regras para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Além disso, revise as permissões dos usuários com o papel de 'manager', garantindo que eles tenham apenas o acesso mínimo necessário. Monitore os logs de acesso em busca de tentativas de acesso não autorizado ao arquivo de banco de dados.
Actualice anything-llm a la versión 1.2.2 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal. La actualización se puede realizar a través del gestor de paquetes npm o siguiendo las instrucciones proporcionadas por el proveedor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-10513 is a Path Traversal vulnerability in mintplex-labs/anything-llm versions 1.2.2 and earlier, allowing attackers to access and manipulate the database file.
You are affected if you are using anything-llm version 1.2.2 or earlier. Upgrade to version 1.2.2 to mitigate the risk.
Upgrade to version 1.2.2 of anything-llm. As a temporary workaround, restrict access to the '/api/document/move-files' endpoint.
As of the current date, there are no reports of active exploitation of CVE-2024-10513.
Refer to the mintplex-labs/anything-llm repository or their official communication channels for the advisory related to CVE-2024-10513.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.