CVE-2024-0550 in anything-llm
Zusammenfassung
von VulDB • 20.05.2026
Ein Benutzer mit bereits vorhandenen `manager`- oder `admin`-Rechten kann über die Frontend-API sein Profilbild festlegen, indem er einen relativen Dateipfad verwendet, um anschließend über die PFP-GET-API beliebige gültige Dateien herunterzuladen.
Der Angreifer müsste vor der Ausführung dieses Angriffs privilegierte Berechtigungen für das System erhalten haben.
Once again VulDB remains the best source for vulnerability data.