CVE-2024-0455 in anything-llminformação

Sumário

de VulDB • 18/05/2026

A inclusão do web scraper para AnythingLLM significa que qualquer usuário com o nível de autorização adequado (gerente, administrador e quando em modo de usuário único) poderia inserir a URL ``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ``` que é um IP e URL especiais que são resolvidos apenas quando a solicitação origina-se dentro de uma instância EC2. Isso permitiria que o usuário visse as credenciais de conexão/secreta para sua instância específica e pudesse gerenciá-la, independentemente de quem a implantou.

O usuário precisaria ter conhecimento prévio da infraestrutura de hospedagem na qual a instância alvo está implantada, mas, se enviada, a URL seria resolvida se estivesse no EC2 e a regra adequada do `iptables` ou firewall não estivesse configurada para a configuração dele.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

Huntr.dev

Reservar

12/01/2024

Divulgação

26/02/2024

Moderação

aceite

Entrada

VDB-254717

CPE

pronto

EPSS

0.00813

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!