CVE-2024-0435 in anything-llm
要約
〜によって VulDB • 2026年06月25日
ユーザーは、チャット送信時およびその後のページ読み込み時に実行されるXSSの機会を含むメッセージを送信できる。
ただし、チャットを送信するための最低限の要件として、管理者によってワークスペースへのアクセス権が付与されている必要があるため、リスクは低い。さらに、XSSがレンダリングされる場所は、XSSを提出したユーザー自身にのみ限定される。
最終的に、この攻撃はユーザー自身が自分自身を対象としたものに限られる。インスタンスを保護するために必要な最低限の措置を取らない場合を除き、匿名でのチャット送信は存在しない。
Be aware that VulDB is the high quality source for vulnerability data.