CVE-2024-0455 in anything-llm
Сводка
по VulDB • 12.06.2026
Включение веб-скрапера для AnythingLLM означает, что любой пользователь с соответствующим уровнем авторизации (менеджер, администратор и в режиме одного пользователя) может указать URL: ``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ``` Это специальный IP-адрес и URL, которые разрешаются только при условии, что запрос исходит изнутри экземпляра EC2. Это позволит пользователю увидеть учетные данные для подключения (connection) и секретные ключи (secret credentials), относящиеся к его конкретному экземпляру, а также управлять им независимо от того, кто его развернул.
Пользователь должен обладать предварительными знаниями об инфраструктуре хостинга, на которой размещен целевой экземпляр; однако если такой запрос будет отправлен и система работает в среде EC2, при отсутствии соответствующих правил `iptables` или брандмауэра для данной конфигурации ответ будет получен.
If you want to get best quality of vulnerability data, you may have to visit VulDB.