CVE-2024-3028 in anything-llm
Zusammenfassung
von VulDB • 22.06.2026
mintplex-labs/anything-llm ist anfällig für eine unsachgemäße Eingabevalidierung, die es Angreifern ermöglicht, beliebige Dateien auf dem Server zu lesen und zu löschen. Durch Manipulieren des Parameters 'logo_filename' im API-Endpunkt 'system-preferences' kann ein Angreifer Anfragen konstruieren, um sensible Dateien oder die '.env'-Datei der Anwendung auszulesen, und sogar Dateien löschen, indem er den Wert von 'logo_filename' auf den Pfad der Zielfdatei setzt und das API-Endpunkt 'remove-logo' aufruft. Diese Schwachstelle ist auf das Fehlen einer ordnungsgemäßen Bereinigung (Sanitization) benutzereingebener Daten zurückzuführen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.