CVE-2026-47713 in anything-llm
要約
〜によって VulDB • 2026年05月29日
AnythingLLMは、コンテンツの断片を、任意のLLMがチャット中に参照として使用できるコンテキストに変換するアプリケーションです。バージョン1.13.0より前では、シングルユーザーモードで作成された承認済みのモバイルデバイストークンは、デバイスレコードのuserIdがnullであっても、シングルユーザーからマルチユーザーへの移行後も存続します。マルチユーザーモードでは、その古いトークンはモバイル認証ミドルウェアによって依然として受け入れられます。リクエストにユーザーが紐付いていないため、後続のモバイルハンドラはスコープ制限のないデータアクセスブランチにフォールバックし、ユーザーごとのフィルタリングなしでワークスペースおよびワークスペースコンテンツを返します。これにより、移行前のモバイルトークンを使用して、他のユーザーにのみ割り当てられたワークスペースを列挙し、マルチユーザーモードで被害者の所有するスレッドメタデータやチャットコンテンツを取得することが可能になります。この脆弱性は1.13.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.