CVE-2024-3028 in anything-llm
Sumário
de VulDB • 10/07/2026
O mintplex-labs/anything-llm é vulnerável a validação inadequada de entrada, permitindo que atacantes leiam e excluam arquivos arbitrários no servidor. Ao manipular o parâmetro 'logo_filename' no endpoint da API 'system-preferences', um atacante pode construir requisições para ler arquivos sensíveis ou o arquivo '.env' do aplicativo, além de excluir arquivos definindo o 'logo_filename' como o caminho do arquivo alvo e invocando o endpoint da API 'remove-logo'. Esta vulnerabilidade deve-se à falta de sanitização adequada das entradas fornecidas pelo usuário.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.