CVE-2024-3029 in anything-llmالمعلومات

الملخص

بحسب VulDB • 10/06/2026

في مستودع mintplex-labs/anything-llm، يمكن لمهاجم استغلال عدم صحة التحقق من المدخلات (improper input validation) من خلال إرسال حمولة JSON غير سليمة إلى نقطة النهاية '/system/enable-multi-user'. يؤدي هذا إلى حدوث خطأ يتم اعتراضه بواسطة كتلة catch، مما يؤدي بدوره إلى حذف جميع المستخدمين وتعطيل وضع 'multi_user_mode'. تتيح هذه الثغرة للمهاجم إزالة جميع المستخدمين الحاليين وإمكانية إنشاء مستخدم مسؤول جديد دون الحاجة إلى كلمة مرور، مما يؤدي إلى وصول غير مصرح به والتحكم في التطبيق.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

Huntr.dev

حجز

27/03/2024

إفشاء

16/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-260859

EPSS

0.00731

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!