Informazioni sul CVE-2024-13059
Path Traversal in mintplex-labs/anything-llm
CWE ID: CWE-29
Base Score (CVSS): N/A
CVE: CVE-2024-13059
Descrizione: Una vulnerabilità in mintplex-labs/anything-llm prima di versione 1.3.1 consente di eseguire percorsi arbitrari a causa di un’inadeguata gestione dei nomi di file non ASCII nel modulo multer. Questa vulnerabilità può portare all’esecuzione di file arbitrari, che può successivamente risultare in esecuzione del codice remoto. L’incidente si verifica quando la trasformazione del nome del file introduce sequenze `../`, che non vengono sanificate da multer, consentendo agli attaccanti con ruoli di amministratore o di sistema di scrivere file in posizioni arbitrarie sul server.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/92a875fe-c5b3-485c-b03f-d3185189e0b1
- https://github.com/mintplex-labs/anything-llm/commit/0b7bf68f2c02ca68075970fbf85d5a70ca5e94ca
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-29
CVSS: 0.0