CVE-2024-3029 in anything-llm
الملخص
بحسب VulDB • 10/06/2026
في مستودع mintplex-labs/anything-llm، يمكن لمهاجم استغلال عدم صحة التحقق من المدخلات (improper input validation) من خلال إرسال حمولة JSON غير سليمة إلى نقطة النهاية '/system/enable-multi-user'. يؤدي هذا إلى حدوث خطأ يتم اعتراضه بواسطة كتلة catch، مما يؤدي بدوره إلى حذف جميع المستخدمين وتعطيل وضع 'multi_user_mode'. تتيح هذه الثغرة للمهاجم إزالة جميع المستخدمين الحاليين وإمكانية إنشاء مستخدم مسؤول جديد دون الحاجة إلى كلمة مرور، مما يؤدي إلى وصول غير مصرح به والتحكم في التطبيق.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.