CVE-2024-0455 in anything-llmthông tin

Tóm tắt

Bởi VulDB • 14/06/2026

Việc tích hợp trình thu thập dữ liệu web (web scraper) cho AnythingLLM có nghĩa là bất kỳ người dùng nào có mức ủy quyền phù hợp (quản trị viên, quản lý và khi ở chế độ người dùng đơn lẻ) đều có thể nhập URL sau:

``` http://169.254.169.254/latest/meta-data/identity-credentials/ec2/security-credentials/ec2-instance ```

Đây là một địa chỉ IP và URL đặc biệt, chỉ phân giải được khi yêu cầu đến từ bên trong một phiên bản EC2 (EC2 instance). Điều này cho phép người dùng xem thông tin xác thực kết nối/bí mật dành riêng cho phiên bản cụ thể của họ và có khả năng quản lý nó bất kể ai là nhà triển khai.

Người dùng cần phải có kiến thức trước về cơ sở hạ tầng lưu trữ mà phiên bản mục tiêu được triển khai trên đó, nhưng nếu URL này được gửi đi - nó sẽ phân giải thành công nếu chạy trên EC2 và quy tắc `iptables` hoặc tường lửa phù hợp chưa được cấu hình cho thiết lập của họ.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

Huntr.dev

Đặt trước

12/01/2024

Tiết lộ

26/02/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00813

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!