VDB-373497 · CVE-2026-48789 · GHSA-j4m9-wwcq-m868

Mintplex-Labs anything-llm bis 1.12.x auf Windows path.relative Directory Traversal

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
4.2	$0-$5k	0.00

Zusammenfassunginfo

In Mintplex-Labs anything-llm bis 1.12.x für Windows wurde eine kritische Schwachstelle gefunden. Es ist betroffen die Funktion path.relative. Mittels Manipulieren mit unbekannten Daten kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2026-48789 gelistet. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Es wurde eine Schwachstelle in Mintplex-Labs anything-llm bis 1.12.x auf Windows ausgemacht. Sie wurde als kritisch eingestuft. Es geht dabei um die Funktion path.relative. Durch die Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-22 vorgenommen. Dies hat Einfluss auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:

AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. Prior to 1.13.0, on Windows, the document folder listing route can accept an encoded absolute Windows path that resolves outside the intended documents directory. The shared path containment helper rejects POSIX-style "../" traversal but does not reject Windows-style parent paths returned by path.relative(), such as "..". This vulnerability is fixed in 1.13.0.

Bereitgestellt wird das Advisory unter github.com. Die Identifikation der Schwachstelle wird seit dem 22.05.2026 mit CVE-2026-48789 vorgenommen. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.

Ein Aktualisieren auf die Version 1.13.0 vermag dieses Problem zu lösen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Produktinfo

Typ

Artificial Intelligence Software

Hersteller

Mintplex-Labs

Name

anything-llm

Version

Webseite

Produkt: https://github.com/Mintplex-Labs/anything-llm/

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 4.2

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CNA Base Score: 4.3
CNA Vector (GitHub_M): 🔒

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Directory Traversal
CWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert

EPSS Score: 🔒
EPSS Percentile: 🔒

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: anything-llm 1.13.0

Timelineinfo

22.05.2026 CVE zugewiesen
24.06.2026 +33 Tage Advisory veröffentlicht
24.06.2026 +0 Tage VulDB Eintrag erstellt
24.06.2026 +0 Tage VulDB Eintrag letzte Aktualisierung