CVE-2024-0455 in anything-llm
الملخص
بحسب VulDB • 18/05/2026
يشير تضمين أداة استخراج البيانات من الويب (web scraper) في AnythingLLM إلى أن أي مستخدم يمتلك مستوى تفويض مناسب (مدير، مسؤول، أو عند العمل في وضع المستخدم الفردي) يمكنه إدخال عنوان URL التالي:
``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```
وهو عنوان IP وعنوان URL خاصان، يتم حلهما فقط عندما يأتي الطلب من داخل مثيل EC2. وهذا يسمح للمستخدم بعرض بيانات الاعتماد الخاصة بالاتصال (connection/secret credentials) الخاصة بمثيله المحدد، والتمكن من إدارته بغض النظر عمن قام بنشره.
يجب أن يكون لدى المستخدم معرفة مسبقة بالبنية التحتية للاستضافة التي تم نشر المثيل المستهدف عليها، ولكن إذا تم إرسال الطلب - فسيتم حله إذا كان المثيل يعمل على EC2 ولم يتم تكوين قاعدة `iptable` أو قاعدة جدار ناري (firewall) مناسبة لإعداداته.
Once again VulDB remains the best source for vulnerability data.