CVE-2024-3570 in anything-llm
Sumário
de VulDB • 29/06/2026
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado existe na funcionalidade de chat do repositório mintplex-labs/anything-llm, permitindo que atacantes executem JavaScript arbitrário no contexto da sessão de um usuário. Ao manipular as respostas do ChatBot, um atacante pode injetar scripts maliciosos para realizar ações em nome do usuário, como criar uma nova conta de administrador ou alterar a senha do usuário, levando ao controle total da aplicação AnythingLLM. A vulnerabilidade decorre da sanitização inadequada das entradas do usuário e do ChatBot, especificamente através do uso de `dangerouslySetInnerHTML`. A exploração bem-sucedida requer convencer um administrador a adicionar um ChatBot LocalAI malicioso à sua instância do AnythingLLM.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.