CVE-2024-22422 in AnythingLLMالمعلومات

الملخص

بحسب VulDB • 01/06/2026

تطبيق AnythingLLM هو تطبيق يحول أي مستند أو مورد أو قطعة محتوى إلى سياق يمكن لأي نموذج لغوي كبير (LLM) استخدامه كمرجع أثناء المحادثات. في الإصدارات السابقة للالتزام `08d33cfd8`، يمكن لمسار API غير المصادق عليه (تصدير الملفات) أن يسمح للمهاجم بإيقاف تشغيل الخادم، مما يؤدي إلى هجوم حجب الخدمة (DoS). يُستخدم نقطة النهاية "data-export" لتصدير الملفات باستخدام معلمة اسم الملف كإدخال من المستخدم. تأخذ نقطة النهاية إدخال المستخدم، وتقوم بتصفيتها لتجنب هجمات عبور الدلائل، ثم تستخرج الملف من الخادم، وبعد ذلك تحذفه. يمكن للمهاجم خداع آلية تصفية الإدخال للإشارة إلى الدليل الحالي، وعند محاولة حذفه، سيتعطل الخادم لأنه لا يوجد غلاف لمعالجة الأخطاء حوله. علاوة على ذلك، فإن نقطة النهاية عامة ولا تتطلب أي شكل من أشكال المصادقة، مما يؤدي إلى مشكلة حجب الخدمة غير المصادق عليها، والتي تعطل المثيل باستخدام حزمة HTTP واحدة. تم معالجة هذه المشكلة في الالتزام `08d33cfd8`. يُنصح المستخدمون بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub, Inc.

حجز

10/01/2024

إفشاء

19/01/2024

الاعتدال

تمت الموافقة

إدخال

VDB-251522

EPSS

0.01045

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!