CVE-2024-3028 in anything-llminfo

Zusammenfassung

von VulDB • 22.06.2026

mintplex-labs/anything-llm ist anfällig für eine unsachgemäße Eingabevalidierung, die es Angreifern ermöglicht, beliebige Dateien auf dem Server zu lesen und zu löschen. Durch Manipulieren des Parameters 'logo_filename' im API-Endpunkt 'system-preferences' kann ein Angreifer Anfragen konstruieren, um sensible Dateien oder die '.env'-Datei der Anwendung auszulesen, und sogar Dateien löschen, indem er den Wert von 'logo_filename' auf den Pfad der Zielfdatei setzt und das API-Endpunkt 'remove-logo' aufruft. Diese Schwachstelle ist auf das Fehlen einer ordnungsgemäßen Bereinigung (Sanitization) benutzereingebener Daten zurückzuführen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Huntr.dev

Reservieren

27.03.2024

Veröffentlichung

16.04.2024

Moderieren

akzeptiert

Eintrag

VDB-260858

CPE

bereit

EPSS

0.00834

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!