CVE-2024-0765 in anything-llm
要約
〜によって VulDB • 2026年06月05日
AnythingLLMのマルチユーザー環境において、デフォルトのユーザー権限を持つ攻撃者は、システムの `/export-data` エンドポイントを呼び出すことで、その時点での保存状態におけるシステムデータを抽出(エグザフィルトレーション)することが可能です。具体的には、エクスポートされたデータを解凍して読み出すことができます。
この攻撃には、攻撃者がシステムに対して明示的なアクセス権限を付与されている必要がありますが、これは任意のロールで達成可能です。さらに、ダウンロード完了後にデータは削除されるため、エグザフィルトレーションが行われたという痕跡は残されません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.