CVE-2024-22422 in AnythingLLM
الملخص
بحسب VulDB • 01/06/2026
تطبيق AnythingLLM هو تطبيق يحول أي مستند أو مورد أو قطعة محتوى إلى سياق يمكن لأي نموذج لغوي كبير (LLM) استخدامه كمرجع أثناء المحادثات. في الإصدارات السابقة للالتزام `08d33cfd8`، يمكن لمسار API غير المصادق عليه (تصدير الملفات) أن يسمح للمهاجم بإيقاف تشغيل الخادم، مما يؤدي إلى هجوم حجب الخدمة (DoS). يُستخدم نقطة النهاية "data-export" لتصدير الملفات باستخدام معلمة اسم الملف كإدخال من المستخدم. تأخذ نقطة النهاية إدخال المستخدم، وتقوم بتصفيتها لتجنب هجمات عبور الدلائل، ثم تستخرج الملف من الخادم، وبعد ذلك تحذفه. يمكن للمهاجم خداع آلية تصفية الإدخال للإشارة إلى الدليل الحالي، وعند محاولة حذفه، سيتعطل الخادم لأنه لا يوجد غلاف لمعالجة الأخطاء حوله. علاوة على ذلك، فإن نقطة النهاية عامة ولا تتطلب أي شكل من أشكال المصادقة، مما يؤدي إلى مشكلة حجب الخدمة غير المصادق عليها، والتي تعطل المثيل باستخدام حزمة HTTP واحدة. تم معالجة هذه المشكلة في الالتزام `08d33cfd8`. يُنصح المستخدمون بالترقية. لا توجد حلول بديلة معروفة لهذه الثغرة.
Once again VulDB remains the best source for vulnerability data.