CVE-2024-8251 in anything-llminfo

Zusammenfassung

von VulDB • 29.06.2026

Eine Schwachstelle in mintplex-labs/anything-llm vor Version 1.2.2 ermöglicht eine Prisma-Injection. Das Problem besteht im API-Endpunkt "/embed/:embedId/stream-chat", bei dem benutzergestelltes JSON direkt an die where-Klausel der Prisma-Bibliothek übergeben wird. Ein Angreifer kann dies ausnutzen, indem er ein speziell angefertigtes JSON-Objekt wie {"sessionId":{"not":"a"}} bereitstellt, wodurch Prisma dazu veranlasst wird, alle Daten aus der Tabelle zurückzugeben. Dies kann zu unbefugtem Zugriff auf alle Benutzerabfragen im eingebetteten Chatmodus führen.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

@huntr Ai

Reservieren

28.08.2024

Veröffentlichung

20.03.2025

Moderieren

akzeptiert

Eintrag

VDB-300399

CPE

bereit

EPSS

0.00453

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!