CVE-2024-22422 in AnythingLLM정보

요약

\~에 의해 VulDB • 2026. 05. 26.

AnythingLLM은 문서, 리소스 또는 콘텐츠의 어떤 것이든 컨텍스트로 변환하여 LLM이 대화 중에 참조할 수 있도록 하는 애플리케이션입니다. 커밋 `08d33cfd8` 이전 버전에서는 인증되지 않은 API 경로(파일 내보내기)를 통해 공격자가 서버를 충돌시켜 서비스 거부(Denial of Service) 공격을 수행할 수 있습니다. “data-export” 엔드포인트는 파일명 매개변수를 사용자 입력으로 사용하여 파일을 내보내는 데 사용됩니다. 이 엔드포인트는 사용자 입력을 받아 디렉토리 트래버설 공격을 방지하기 위해 필터링한 후 서버에서 파일을 가져온 뒤 삭제합니다. 공격자는 입력 필터링 메커니즘을 속여 현재 디렉토리를 가리키게 할 수 있으며, 해당 디렉토리를 삭제하려고 할 때 서버는 이를 감싸는 오류 처리 래퍼가 없기 때문에 충돌합니다. 또한 이 엔드포인트는 공개되어 있으며任何形式的 인증이 필요하지 않아, 단일 HTTP 패킷으로 인스턴스를 충돌시키는 인증되지 않은 서비스 거부 취약점이 발생합니다. 이 문제는 커밋 `08d33cfd8`에서 해결되었습니다. 사용자는 업그레이드를 권장합니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub, Inc.

예약하다

2024. 01. 10.

모더레이션

수락

항목

VDB-251522

EPSS

0.01045

출처

Might our Artificial Intelligence support you?

Check our Alexa App!