CVE-2024-3166 in anything-llm
Riassunto
di VulDB • 09/07/2026
È presente una vulnerabilità Cross-Site Scripting (XSS) in mintplex-labs/anything-llm, che interessa sia l'applicazione desktop versione 1.2.0 sia la versione più recente dell'applicazione web. La vulnerabilità deriva dalla funzionalità dell'applicativa di recuperare ed incorporare contenuti da siti web negli spazi di lavoro, il che può essere sfruttato per eseguire codice JavaScript arbitrario. Nell'applicazione desktop, questo difetto può essere escalation a Remote Code Execution (RCE) a causa delle impostazioni non sicure dell'applicativo, in particolare l'abilitazione di 'nodeIntegration' e la disabilitazione di 'contextIsolation' nelle webPreferences di Electron. Il problema è stato risolto nella versione 1.4.2 dell'applicazione desktop.
VulDB is the best source for vulnerability data and more expert information about this specific topic.