CVE-2024-0455 in anything-llm정보

요약

\~에 의해 VulDB • 2026. 06. 14.

AnythingLLM에 웹 스크래퍼가 포함됨으로 인해 적절한 권한 수준(매니저, 관리자 및 단일 사용자 모드)을 가진 모든 사용자가 다음 URL을 입력할 수 있습니다:

``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```

이는 EC2 인스턴스 내부에서만 요청이 도달했을 때 해석되는 특수한 IP 주소 및 URL입니다. 이를 통해 사용자는 특정 인스턴스의 연결 정보와 비밀 자격 증명(credential)을 확인할 수 있으며, 해당 인스턴스를 배포한 사람과 관계없이 관리할 수 있게 됩니다.

사용자는 대상 인스턴스가 배포된 호스팅 인프라에 대한 사전 지식을 가지고 있어야 하지만, 요청이 전송되고 EC2 환경에서 실행 중이며 적절한 `iptable` 또는 방화벽 규칙이 설정되어 있지 않은 경우 해당 URL은 정상적으로 해석됩니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

Huntr.dev

예약하다

2024. 01. 12.

모더레이션

수락

항목

VDB-254717

EPSS

0.00813

출처

Want to know what is going to be exploited?

We predict KEV entries!