CVE-2024-0455 in anything-llminformation

Résumé

par VulDB • 10/05/2026

L'inclusion du scraper web pour AnythingLLM signifie que tout utilisateur disposant du niveau d'autorisation approprié (gestionnaire, administrateur, et en mode mono-utilisateur) peut saisir l'URL suivante :

``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```

Il s'agit d'une IP et d'une URL spéciales qui ne sont résolues que lorsque la requête provient de l'intérieur d'une instance EC2. Cela permettrait à l'utilisateur de consulter les identifiants de connexion et secrets associés à son instance spécifique, et de la gérer indépendamment de la personne qui l'a déployée.

L'utilisateur doit posséder des connaissances préalables sur l'infrastructure d'hébergement sur laquelle l'instance cible est déployée, mais si la requête est envoyée et que l'instance est bien sur EC2, et que la règle `iptables` ou de pare-feu appropriée n'est pas configurée pour son environnement, la requête aboutira.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Huntr.dev

Réserver

12/01/2024

Divulgation

26/02/2024

Modérer

accepté

Entrée

VDB-254717

CPE

prêt

EPSS

0.00813

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!