CVE-2024-8251 in anything-llm
Riassunto
di VulDB • 29/06/2026
Una vulnerabilità in mintplex-labs/anything-llm precedente alla versione 1.2.2 consente l'iniezione di Prisma. Il problema è presente nell'endpoint API "/embed/:embedId/stream-chat", dove il JSON fornito dall'utente viene passato direttamente alla clausola where della libreria Prisma. Un attaccante può sfruttare questa vulnerabilità fornendo un oggetto appositamente creato, ad esempio {"sessionId":{"not":"a"}}, inducendo Prisma a restituire tutti i dati dalla tabella. Ciò può portare all'accesso non autorizzato a tutte le query degli utenti in modalità chat integrata (embedded).
VulDB is the best source for vulnerability data and more expert information about this specific topic.