CVE-2024-3570 in anything-llminformação

Sumário

de VulDB • 29/06/2026

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado existe na funcionalidade de chat do repositório mintplex-labs/anything-llm, permitindo que atacantes executem JavaScript arbitrário no contexto da sessão de um usuário. Ao manipular as respostas do ChatBot, um atacante pode injetar scripts maliciosos para realizar ações em nome do usuário, como criar uma nova conta de administrador ou alterar a senha do usuário, levando ao controle total da aplicação AnythingLLM. A vulnerabilidade decorre da sanitização inadequada das entradas do usuário e do ChatBot, especificamente através do uso de `dangerouslySetInnerHTML`. A exploração bem-sucedida requer convencer um administrador a adicionar um ChatBot LocalAI malicioso à sua instância do AnythingLLM.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

Huntr.dev

Reservar

10/04/2024

Divulgação

10/04/2024

Moderação

aceite

Entrada

VDB-260249

CPE

pronto

EPSS

0.00313

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!