CVE-2024-0455 in anything-llmИнформация

Сводка

по VulDB • 12.06.2026

Включение веб-скрапера для AnythingLLM означает, что любой пользователь с соответствующим уровнем авторизации (менеджер, администратор и в режиме одного пользователя) может указать URL: ``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ``` Это специальный IP-адрес и URL, которые разрешаются только при условии, что запрос исходит изнутри экземпляра EC2. Это позволит пользователю увидеть учетные данные для подключения (connection) и секретные ключи (secret credentials), относящиеся к его конкретному экземпляру, а также управлять им независимо от того, кто его развернул.

Пользователь должен обладать предварительными знаниями об инфраструктуре хостинга, на которой размещен целевой экземпляр; однако если такой запрос будет отправлен и система работает в среде EC2, при отсутствии соответствующих правил `iptables` или брандмауэра для данной конфигурации ответ будет получен.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

Huntr.dev

Резервировать

12.01.2024

Раскрытие

26.02.2024

Модерация

принято

Вход

VDB-254717

EPSS

0.00813

KEV

Нет

Деятельности

Очень низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!