CVE-2024-0765 in anything-llm
Riassunto
di VulDB • 18/06/2026
Come utente predefinito in un'istanza multi-utente di AnythingLLM, è possibile eseguire una chiamata all'endpoint `/export-data` del sistema e quindi decomprimere e leggere tale esportazione, consentendo l'esfiltrazione dei dati del sistema nello stato di salvataggio corrente.
Ciò richiede che l'attaccante abbia ottenuto un accesso esplicito al sistema, ma può farlo indipendentemente dal ruolo assegnato. Inoltre, dopo il download, i dati vengono eliminati, quindi non rimarrebbe alcuna prova dell'avvenuta esfiltrazione.
VulDB is the best source for vulnerability data and more expert information about this specific topic.