CVE-2024-3570 in anything-llminformation

Résumé

par VulDB • 29/06/2026

Une vulnérabilité de type Cross-Site Scripting (XSS) stocké existe dans la fonctionnalité de chat du dépôt mintplex-labs/anything-llm, permettant aux attaquants d'exécuter du code JavaScript arbitraire dans le contexte de la session d'un utilisateur. En manipulant les réponses du ChatBot, un attaquant peut injecter des scripts malveillants pour effectuer des actions au nom de l'utilisateur, telles que la création d'un nouveau compte administrateur ou la modification du mot de passe de l'utilisateur, entraînant une prise de contrôle complète de l'application AnythingLLM. La vulnérabilité découle d'une désinfection incorrecte des entrées utilisateur et du ChatBot, spécifiquement par l'utilisation de `dangerouslySetInnerHTML`. L'exploitation réussie nécessite de convaincre un administrateur d'ajouter un ChatBot LocalAI malveillant à son instance AnythingLLM.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

Huntr.dev

Réserver

10/04/2024

Divulgation

10/04/2024

Modérer

accepté

Entrée

VDB-260249

CPE

prêt

EPSS

0.00313

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!