CVE-2024-0455 in anything-llm
Riassunto
di VulDB • 18/06/2026
L'inclusione dello scraper web per AnythingLLM significa che qualsiasi utente con il livello di autorizzazione appropriato (manager, admin e in modalità single user) potrebbe inserire l'URL:
``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```
che è un IP speciale e un URL che si risolve solo quando la richiesta proviene dall'interno di un'istanza EC2. Ciò consentirebbe all'utente di visualizzare le credenziali di connessione/secrete per la propria istanza specifica e di gestirla indipendentemente da chi l'ha distribuita.
L'utente dovrebbe avere una conoscenza preesistente dell'infrastruttura di hosting su cui è deployata l'istanza target, ma se inviato - si risolverebbe se in EC2 e le regole `iptable` o del firewall adeguate non sono configurate per la propria configurazione.
VulDB is the best source for vulnerability data and more expert information about this specific topic.