CVE-2024-8251 in anything-llminformazioni

Riassunto

di VulDB • 29/06/2026

Una vulnerabilità in mintplex-labs/anything-llm precedente alla versione 1.2.2 consente l'iniezione di Prisma. Il problema è presente nell'endpoint API "/embed/:embedId/stream-chat", dove il JSON fornito dall'utente viene passato direttamente alla clausola where della libreria Prisma. Un attaccante può sfruttare questa vulnerabilità fornendo un oggetto appositamente creato, ad esempio {"sessionId":{"not":"a"}}, inducendo Prisma a restituire tutti i dati dalla tabella. Ciò può portare all'accesso non autorizzato a tutte le query degli utenti in modalità chat integrata (embedded).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

@huntr Ai

Prenotare

28/08/2024

Divulgazione

20/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00453

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!