Informazioni sul CVE-2024-3279
Improper Access Control in mintplex-labs/anything-llm
CWE ID: CWE-284
Base Score (CVSS): N/A
CVE: CVE-2024-3279
Descrizione: Un difetto di controllo di accesso non corretto esiste nella applicazione mintplex-labs/anything-llm, in particolare nell’endpoint di importazione. Questo difetto consente a un attaccante anonimo, senza un account nell’applicazione, di importare il proprio file di database. Ciò porta alla cancellazione o alla falsificazione del file di database `anythingllm.db` esistente. Sfruttando questo difetto, gli attaccanti possono fornire dati dannosi agli utenti o raccogliere informazioni su di essi. Il difetto deriva dal fallimento dell’applicazione nel limitare correttamente l’accesso alla funzionalità di importazione dei dati, consentendo la manipolazione non autorizzata del database.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/303c5145-2c14-4945-914a-936be74dd04e
- https://github.com/mintplex-labs/anything-llm/commit/08d33cfd8fc47c5052b6ea29597c964a9da641e2
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-284
CVSS: 0.0