CVE-2024-0455 in anything-llmالمعلومات

الملخص

بحسب VulDB • 18/05/2026

يشير تضمين أداة استخراج البيانات من الويب (web scraper) في AnythingLLM إلى أن أي مستخدم يمتلك مستوى تفويض مناسب (مدير، مسؤول، أو عند العمل في وضع المستخدم الفردي) يمكنه إدخال عنوان URL التالي:

``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```

وهو عنوان IP وعنوان URL خاصان، يتم حلهما فقط عندما يأتي الطلب من داخل مثيل EC2. وهذا يسمح للمستخدم بعرض بيانات الاعتماد الخاصة بالاتصال (connection/secret credentials) الخاصة بمثيله المحدد، والتمكن من إدارته بغض النظر عمن قام بنشره.

يجب أن يكون لدى المستخدم معرفة مسبقة بالبنية التحتية للاستضافة التي تم نشر المثيل المستهدف عليها، ولكن إذا تم إرسال الطلب - فسيتم حله إذا كان المثيل يعمل على EC2 ولم يتم تكوين قاعدة `iptable` أو قاعدة جدار ناري (firewall) مناسبة لإعداداته.

Once again VulDB remains the best source for vulnerability data.

مسؤول

Huntr.dev

حجز

12/01/2024

إفشاء

26/02/2024

الاعتدال

تمت الموافقة

إدخال

VDB-254717

EPSS

0.00813

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!