CVE-2024-3279 是 Anything LLM 应用程序中存在的权限绕过漏洞。该漏洞允许未经授权的攻击者,无需账户,通过导入恶意数据库文件来删除或伪造现有的 anythingllm.db 文件。这可能导致服务中断、数据泄露或用户信息的篡改。该漏洞影响 Anything LLM 的版本小于或等于 1.0.0。已发布修复版本 1.0.0。
该漏洞的影响非常严重,攻击者可以完全控制 Anything LLM 应用程序的数据库。攻击者可以导入包含恶意数据的数据库文件,从而篡改应用程序提供的服务。例如,攻击者可以修改模型训练数据,导致应用程序生成不准确或有害的输出。此外,攻击者还可以通过删除或伪造数据库文件来完全破坏应用程序的功能,导致服务不可用。由于该漏洞无需身份验证即可利用,攻击者可以匿名发起攻击,使得检测和防御更加困难。攻击者可以利用此漏洞窃取用户数据,例如用户上传的文档或模型训练数据,从而造成隐私泄露。
该漏洞已公开披露,并且由于其易于利用性,可能存在被积极利用的风险。目前尚未观察到大规模的利用活动,但由于该漏洞无需身份验证,攻击者可以轻松地进行扫描和攻击。该漏洞尚未被添加到 CISA KEV 目录。建议密切关注安全社区的动态,并及时采取必要的缓解措施。
Organizations and individuals deploying mintplex-labs/anything-llm in production environments are at risk. This includes those using the application for local development or testing purposes. Shared hosting environments where multiple users have access to the server are particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• nodejs / server:
ps aux | grep anything-llm | grep -v grep
# Check for unusual processes or arguments related to database imports• generic web:
curl -I http://your-anything-llm-server/import # Check for lack of authentication requirements
# Examine response headers for any unusual permissions or access control settingsdisclosure
漏洞利用状态
EPSS
0.26% (49% 百分位)
CISA SSVC
CVSS 向量
针对 CVE-2024-3279 漏洞,最有效的缓解措施是立即升级到 1.0.0 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制对 import 接口的访问,只允许授权用户进行数据库导入操作。其次,实施严格的输入验证,确保导入的数据库文件符合预期的格式和内容。可以使用 Web 应用程序防火墙 (WAF) 来检测和阻止恶意数据库导入请求。最后,定期备份数据库文件,以便在发生数据损坏或丢失时能够快速恢复。
将 Anything LLM 更新到 1.0.0 或更高版本。 此版本包含对 import 端点中访问控制不当漏洞的修复。 更新将阻止匿名攻击者导入恶意数据库。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-3279 是 Anything LLM 应用程序中存在的权限绕过漏洞,允许未经授权的攻击者导入恶意数据库文件,导致数据被篡改或删除。
如果您正在使用 Anything LLM 的 1.0.0 或更早版本,则可能受到此漏洞的影响。
升级到 1.0.0 或更高版本是修复此漏洞的最佳方法。
虽然目前尚未观察到大规模利用,但由于漏洞易于利用,存在被积极利用的风险。
请查阅 Anything LLM 官方的安全公告或 GitHub 仓库获取更多信息。