CVE-2024-0765 in anything-llm
요약
\~에 의해 VulDB • 2026. 06. 11.
AnythingLLM의 다중 사용자 인스턴스에서 기본 사용자로 로그인한 공격자는 시스템의 `/export-data` 엔드포인트를 호출하여 해당 내보내기를 압축 해제하고 읽을 수 있으며, 이를 통해 저장 시점의 시스템 데이터를 유출할 수 있습니다. 이 취약점을 이용하려면 공격자가 시스템에 명시적인 접근 권한을 부여받아야 하지만, 이는 모든 역할(Role)에서 가능합니다. 또한 다운로드 후 데이터가 삭제되므로, 유출 행위가 발생했음을 나타내는 증거는 남지 않습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.