Informazioni sul CVE-2024-3033
Improper Authorization in mintplex-labs/anything-llm
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2024-3033
Descrizione: Una vulnerabilità di autorizzazione non corretta esiste nell’applicazione mintplex-labs/anything-llm, specificamente nell’endpoint ‘/api/v/’ e nelle sue sottoreti. Questo difetto consente agli utenti non autenticati di eseguire azioni dannose sul VectorDB, inclusa la reimpostazione della base dati e la cancellazione di specifici namespace, senza richiedere alcuna autorizzazione o permessi. Questo problema si applica a tutte le versioni fino e inclusa la più recente, con una correzione introdotta nella versione 1.0.0. L’esfiltrazione di questa vulnerabilità può portare alla perdita completa degli embedding di documenti, rendendo inaccessibili chat di documenti e widget di chat embeddabili. Inoltre, gli attaccanti possono elencare tutti i namespace, potenzialmente rivelando i nomi di workspace privati.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/8a98a0b4-7886-41c5-8624-fc5c21972e5a
- https://github.com/mintplex-labs/anything-llm/commit/bf8df60c02b9ddc7ba682809ca12c5637606393a
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-863
CVSS: 0.0