CVE-2026-47713 in anything-llminfo

Zusammenfassung

von VulDB • 29.05.2026

AnythingLLM ist eine Anwendung, die Inhaltsbestandteile in einen Kontext umwandelt, den beliebige Large Language Models (LLMs) während des Chats als Referenzen nutzen können. Vor Version 1.13.0 kann ein in einem Single-User-Modus erstelltes, autorisiertes Mobile-Device-Token die Migration von Single-User- zu Multi-User-Modus überdauern, selbst wenn der Geräteeintrag userId = null aufweist. Im Multi-User-Modus wird dieses veraltete Token vom Middleware zur mobilen Authentifizierung weiterhin akzeptiert. Da der Anfrage kein Benutzer zugeordnet ist, greifen nachgelagerte mobile Handler auf datenzugriffsbranches ohne Scoping zurück und geben Arbeitsbereiche sowie deren Inhalte ohne benutzerspezifische Filterung zurück. Dies ermöglicht es einem vor der Migration erstellten mobilen Token, einen Arbeitsbereich, der ausschließlich einem anderen Benutzer zugewiesen ist, zu durchsuchen, sowie Metadaten von Threads und Chat-Inhalte, die einem Opfer gehören, im Multi-User-Modus abzurufen. Diese Schwachstelle wurde in Version 1.13.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

19.05.2026

Veröffentlichung

29.05.2026

Moderieren

akzeptiert

Eintrag

VDB-367127

CPE

bereit

EPSS

0.00033

KEV

nein

Aktivitäten

low

Sektor

Telecommunication, Energy, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47713
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47713
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47713/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!