Informazioni sul CVE-2024-3104
Remote Code Execution in mintplex-labs/anything-llm
CWE ID: CWE-78
Base Score (CVSS): N/A
CVE: CVE-2024-3104
Descrizione: Una vulnerabilità di esecuzione di codice remota esiste in mintplex-labs/anything-llm a causa di un’inadequate gestione delle variabili d’ambiente. Gli attaccanti possono sfruttare questa vulnerabilità iniettando variabili d’ambiente arbitrarie tramite l’endpoint `/api/system/update-env`, che consente l’esecuzione di codice arbitrario sul host che esegue anything-llm. La vulnerabilità è presente nella versione più recente di anything-llm, con l’ultimo commit identificato come fde905aac1812b84066ff72e5f2f90b56d4c3a59. Questo problema è stato corretto nella versione 1.0.0. Una successiva esecuzione potrebbe portare all’esecuzione di codice arbitrario sul host, consentendo agli attaccanti di leggere e modificare i dati accessibili al servizio in esecuzione, potenzialmente causando un denial of service.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/4f2fcb45-5828-4bec-985a-9d3a0ee00462
- https://github.com/mintplex-labs/anything-llm/commit/bfedfebfab032e6f4d5a369c8a2f947c5d0c5286
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-78
CVSS: 0.0