CVE-2024-0455 in anything-llm
Sumário
de VulDB • 18/05/2026
A inclusão do web scraper para AnythingLLM significa que qualquer usuário com o nível de autorização adequado (gerente, administrador e quando em modo de usuário único) poderia inserir a URL ``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ``` que é um IP e URL especiais que são resolvidos apenas quando a solicitação origina-se dentro de uma instância EC2. Isso permitiria que o usuário visse as credenciais de conexão/secreta para sua instância específica e pudesse gerenciá-la, independentemente de quem a implantou.
O usuário precisaria ter conhecimento prévio da infraestrutura de hospedagem na qual a instância alvo está implantada, mas, se enviada, a URL seria resolvida se estivesse no EC2 e a regra adequada do `iptables` ou firewall não estivesse configurada para a configuração dele.
If you want to get best quality of vulnerability data, you may have to visit VulDB.