AnythingLLM é uma aplicação que transforma partes de conteúdo em contexto que qualquer LLM pode usar como referências durante a conversa. Anteriormente à versão 1.10.0, uma vulnerabilidade crítica de Path Traversal na integração DrupalWiki permite que um administrador malicioso (ou um atacante que possa convencer um administrador a configurar uma URL DrupalWiki maliciosa) escreva arquivos arbitrários no servidor. Isso pode levar à Execução Remota de Código (RCE) ao sobrescrever arquivos de configuração ou escrever scripts executáveis. A versão 1.10.0 corrige o problema.

A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha controle remoto sobre o servidor Drupal. Ao escrever arquivos arbitrários, um atacante pode sobrescrever arquivos de configuração críticos, injetar código malicioso (como scripts PHP) ou até mesmo modificar o código-fonte do Drupal. Isso pode levar à execução de comandos arbitrários no servidor com os privilégios do usuário do processo Drupal, potencialmente comprometendo todo o sistema. A capacidade de escrever arquivos no sistema de arquivos do servidor representa um risco significativo, permitindo a instalação de backdoors, roubo de dados sensíveis e outras atividades maliciosas. A vulnerabilidade é particularmente perigosa porque pode ser explorada por um administrador malicioso ou por um atacante que consiga enganar um administrador para configurar uma URL DrupalWiki maliciosa.

Organizations using Drupal Core with the AnythingLLM application installed, particularly those with administrative users who may be susceptible to social engineering attacks or who may inadvertently configure malicious DrupalWiki URLs, are at risk. Shared hosting environments where multiple Drupal instances share the same server resources are also at increased risk.

• drupal: Check the installed version of the AnythingLLM module using drush pm:core-list or drush pm:modules. • generic web: Monitor Drupal error logs for attempts to access files outside of the intended DrupalWiki directory. • generic web: Use a WAF to block requests containing path traversal sequences (e.g., ../). • linux / server: Monitor file system activity for unexpected file creations or modifications within the Drupal installation directory, particularly in areas related to configuration files. Use auditd to track file access attempts.

1. 2026-01-27Disclosure

   disclosure

1. Reservado2026-01-23
2. Publicada2026-01-27
3. Modificada2026-01-28
4. EPSS atualizado2026-03-23

A mitigação primária para esta vulnerabilidade é atualizar o Drupal Core para a versão 1.10.0 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere desativar temporariamente a integração DrupalWiki. Como medida adicional, implemente regras de firewall ou proxy para restringir o acesso à URL DrupalWiki, limitando as entradas permitidas. Monitore os logs do servidor Drupal em busca de tentativas de acesso não autorizado ou escrita de arquivos suspeitos. Implementar uma política de segurança robusta que restrinja os privilégios dos administradores e exija autenticação multifator pode ajudar a mitigar o risco de exploração.