Informazioni sul CVE-2024-3029
Improper Input Validation in mintplex-labs/anything-llm
CWE ID: CWE-20
Base Score (CVSS): N/A
CVE: CVE-2024-3029
Descrizione: In mintplex-labs/anything-llm, un attaccante può sfruttare una validazione input errata inviando un payload JSON malformato all’endpoint ‘/system/enable-multi-user’. Questo innesca un errore che viene catturato da un blocco di gestione degli errori, che a sua volta cancella tutti gli utenti e disabilita il ‘multi_user_mode’. La vulnerabilità permette a un attaccante di rimuovere tutti gli utenti esistenti e potenzialmente creare un nuovo utente amministratore senza richiedere una password, consentendo un accesso non autorizzato e il controllo sull’applicazione.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/7189a7a0-9830-459d-b853-bdc2559999a0
- https://github.com/mintplex-labs/anything-llm/commit/99cfee1e7025fe9a0919a4d506ba1e1b819f6073
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-20
CVSS: 0.0