Informazioni sul CVE-2024-2913
Race Condition Vulnerability in mintplex-labs/anything-llm
CWE ID: CWE-367
Base Score (CVSS): N/A
CVE: CVE-2024-2913
Descrizione: Una vulnerabilità di condizione di concorrenza esiste nel repository mintplex-labs/anything-llm, in particolare nel processo di accettazione delle richieste di invito. Gli attaccanti possono sfruttare questa vulnerabilità inviando più richieste simultanee per accettare un singolo invito utente, consentendo la creazione di più account utente da un unico link di invito destinato a un solo utente. Questo bypassa il meccanismo di sicurezza previsto che limita l’accettazione delle richieste a un solo utente, portando alla creazione di account utente non autorizzati senza rilevamento nell’elenco delle richieste. Il problema è dovuto alla mancanza di validazione per le richieste concorrenti nel backend.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-367
CVSS: 0.0