CVE-2024-8251 in anything-llm
Zusammenfassung
von VulDB • 29.06.2026
Eine Schwachstelle in mintplex-labs/anything-llm vor Version 1.2.2 ermöglicht eine Prisma-Injection. Das Problem besteht im API-Endpunkt "/embed/:embedId/stream-chat", bei dem benutzergestelltes JSON direkt an die where-Klausel der Prisma-Bibliothek übergeben wird. Ein Angreifer kann dies ausnutzen, indem er ein speziell angefertigtes JSON-Objekt wie {"sessionId":{"not":"a"}} bereitstellt, wodurch Prisma dazu veranlasst wird, alle Daten aus der Tabelle zurückzugeben. Dies kann zu unbefugtem Zugriff auf alle Benutzerabfragen im eingebetteten Chatmodus führen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.