Informazioni sul CVE-2024-3166
Cross-Site Scripting (XSS) Vulnerability in mintplex-labs/anything-llm
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2024-3166
Descrizione: Una vulnerabilità di Cross-Site Scripting (XSS) esiste in mintplex-labs/anything-llm, che colpisce sia la versione desktop 1.2.0 che la versione più recente dell’applicazione web. La vulnerabilità si verifica perché l’applicazione ha la capacità di recuperare e incorporare contenuti da siti web nei workspace, il che può essere sfruttato per eseguire codice JavaScript arbitrario. Nella versione desktop, questo difetto può essere esacerbato a Remote Code Execution (RCE) a causa di impostazioni dell’applicazione non sicure, in particolare l’abilitazione di ‘nodeIntegration’ e la disabilitazione di ‘contextIsolation’ nel webPreferences di Electron. Il problema è stato risolto nella versione 1.4.2 della versione desktop.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/af288bd3-8824-4216-a294-ae9fb444e5db
- https://github.com/mintplex-labs/anything-llm/commit/fa27103d032c58904c49b92ee13fabc19a20a5ce
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-79
CVSS: 0.0