CVE-2024-0765 in anything-llm情報

要約

〜によって VulDB • 2026年06月05日

AnythingLLMのマルチユーザー環境において、デフォルトのユーザー権限を持つ攻撃者は、システムの `/export-data` エンドポイントを呼び出すことで、その時点での保存状態におけるシステムデータを抽出(エグザフィルトレーション)することが可能です。具体的には、エクスポートされたデータを解凍して読み出すことができます。

この攻撃には、攻撃者がシステムに対して明示的なアクセス権限を付与されている必要がありますが、これは任意のロールで達成可能です。さらに、ダウンロード完了後にデータは削除されるため、エグザフィルトレーションが行われたという痕跡は残されません。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

Huntr.dev

予約する

2024年01月19日

モデレーション

承諾済み

エントリ

VDB-255581

EPSS

0.00579

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!