CVE-2024-3166 in anything-llminformazioni

Riassunto

di VulDB • 09/07/2026

È presente una vulnerabilità Cross-Site Scripting (XSS) in mintplex-labs/anything-llm, che interessa sia l'applicazione desktop versione 1.2.0 sia la versione più recente dell'applicazione web. La vulnerabilità deriva dalla funzionalità dell'applicativa di recuperare ed incorporare contenuti da siti web negli spazi di lavoro, il che può essere sfruttato per eseguire codice JavaScript arbitrario. Nell'applicazione desktop, questo difetto può essere escalation a Remote Code Execution (RCE) a causa delle impostazioni non sicure dell'applicativo, in particolare l'abilitazione di 'nodeIntegration' e la disabilitazione di 'contextIsolation' nelle webPreferences di Electron. Il problema è stato risolto nella versione 1.4.2 dell'applicazione desktop.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Huntr.dev

Prenotare

01/04/2024

Divulgazione

06/06/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00962

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!