mintplex-labs anything-llm bis 0.x JSON /api/request-token Benutzername Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in mintplex-labs anything-llm bis 0.x entdeckt. Sie wurde als problematisch eingestuft. Das betrifft eine unbekannte Funktionalität der Datei /api/request-token der Komponente JSON Handler. Die Manipulation des Arguments Benutzername führt zu Information Disclosure. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2024-3102 gehandelt. Der Angriff kann über das Netzwerk angegangen werden. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.
Details
Es wurde eine problematische Schwachstelle in mintplex-labs anything-llm bis 0.x entdeckt. Betroffen hiervon ist unbekannter Programmcode der Datei /api/request-token der Komponente JSON Handler. Durch Beeinflussen des Arguments username mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-229 vorgenommen. Dies wirkt sich aus auf die Vertraulichkeit. CVE fasst zusammen:
A JSON Injection vulnerability exists in the `mintplex-labs/anything-llm` application, specifically within the username parameter during the login process at the `/api/request-token` endpoint. The vulnerability arises from improper handling of values, allowing attackers to perform brute force attacks without prior knowledge of the username. Once the password is known, attackers can conduct blind attacks to ascertain the full username, significantly compromising system security.Auf huntr.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 29.03.2024 unter CVE-2024-3102 geführt. Sie gilt als schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 1.0.0 vermag dieses Problem zu beheben. Die Schwachstelle lässt sich auch durch das Einspielen des Patches 2374939ffb551ab2929d7f9d5827fe6597fa8caa beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.7
VulDB Base Score: 3.7
VulDB Temp Score: 3.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔍
CNA Base Score: 5.3
CNA Vector (huntr.dev): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-229 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: anything-llm 1.0.0
Patch: 2374939ffb551ab2929d7f9d5827fe6597fa8caa
Timeline
29.03.2024 🔍06.06.2024 🔍
06.06.2024 🔍
03.11.2024 🔍
Quellen
Produkt: github.comAdvisory: huntr.com
Status: Bestätigt
CVE: CVE-2024-3102 (🔍)
GCVE (CVE): GCVE-0-2024-3102
GCVE (VulDB): GCVE-100-267354
Eintrag
Erstellt: 06.06.2024 21:39Aktualisierung: 03.11.2024 19:45
Anpassungen: 06.06.2024 21:39 (67), 08.06.2024 04:37 (1), 03.11.2024 19:45 (12)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.