Plataforma
javascript
Componente
anything-llm
Corrigido em
1.11.2
A vulnerabilidade CVE-2026-32626 é uma falha crítica de Cross-Site Scripting (XSS) que pode escalar para Execução Remota de Código (RCE) no aplicativo AnythingLLM, versões até 1.11.1. Essa falha reside no pipeline de renderização de chat, explorando a interpolação insegura de conteúdo em atributos HTML. A exploração requer apenas o uso normal do chat e não exige interação adicional do usuário, representando um risco significativo para os usuários.
Um atacante pode explorar essa vulnerabilidade para injetar scripts maliciosos no aplicativo AnythingLLM. Devido à configuração insegura do Electron, esses scripts podem ser executados com privilégios elevados, permitindo a execução remota de código no sistema operacional do usuário. Isso pode levar ao roubo de dados confidenciais, instalação de malware, controle remoto do sistema e outras atividades maliciosas. A ausência de interação do usuário para a exploração aumenta significativamente o risco, tornando a vulnerabilidade particularmente perigosa. A falha de escapar corretamente os dados de entrada no atributo 'alt' de imagens permite a injeção de código JavaScript, que pode ser usado para comprometer o sistema.
A vulnerabilidade CVE-2026-32626 foi divulgada em 2026-03-13. Não há informações disponíveis sobre a adição a KEV ou a existência de Exploit Publicamente Disponível (PoC) no momento da divulgação. Dada a natureza crítica da vulnerabilidade e a facilidade de exploração, é provável que a exploração ativa ocorra em breve. A falta de mitigação imediata pode resultar em ataques direcionados a usuários do AnythingLLM.
Users of AnythingLLM Desktop, particularly those handling sensitive data or operating in environments with limited security controls, are at significant risk. Shared hosting environments where multiple users share the same instance of AnythingLLM Desktop are also particularly vulnerable, as an attacker could potentially compromise the entire system.
• javascript / desktop:
Get-Process -Name AnythingLLM | Select-Object -ExpandProperty Path• javascript / desktop: Check for unusual JavaScript files or modifications within the AnythingLLM installation directory. • javascript / desktop: Monitor Electron process network activity for suspicious requests related to image rendering. • javascript / desktop: Examine the application's configuration files for any signs of tampering or unauthorized modifications.
disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-32626 é atualizar o AnythingLLM para a versão corrigida, que aborda a interpolação insegura de conteúdo. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir o acesso à rede e monitorar o tráfego de rede em busca de atividades suspeitas. Implementar uma camada de segurança, como um Web Application Firewall (WAF), pode ajudar a bloquear solicitações maliciosas. Verifique a configuração do Electron para garantir que as políticas de segurança estejam corretamente aplicadas. Após a atualização, confirme a correção executando testes de segurança para verificar se a vulnerabilidade foi efetivamente eliminada.
Atualize AnythingLLM para uma versão posterior a 1.11.1. Isso corrige a vulnerabilidade XSS que pode levar à execução remota de código. A atualização pode ser realizada baixando a última versão do site oficial ou utilizando o gerenciador de pacotes correspondente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32626 is a critical vulnerability in AnythingLLM Desktop versions up to 1.11.1 that allows attackers to execute code on the host system through an XSS flaw in the image rendering pipeline.
Yes, if you are using AnythingLLM Desktop version 1.11.1 or earlier, you are vulnerable to this RCE attack.
Upgrade to the latest version of AnythingLLM Desktop as soon as a patch is released. Until then, restrict usage and monitor for suspicious activity.
While active exploitation is not yet confirmed, the vulnerability's ease of exploitation suggests it is likely to be targeted soon. Monitor security advisories for updates.
Refer to the official AnythingLLM project website and security advisories for the latest information and patch releases.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.