Informazioni sul CVE-2024-3283
Privilege Escalation via Mass Assignment in mintplex-labs/anything-llm
CWE ID: CWE-915
Base Score (CVSS): N/A
CVE: CVE-2024-3283
Descrizione: Una vulnerabilità in mintplex-labs/anything-llm consente agli utenti con ruoli manager di aumentare i propri privilegi a admin attraverso un problema di assegnazione di massa. L’endpoint ‘/admin/system-preferences’ API in modo improprio autorizza gli utenti di livello manager a modificare la variabile ‘multi_user_mode’ del sistema, consentendo loro di accedere all’endpoint ‘/api/system/enable-multi-user’ e di creare un nuovo utente amministratore. Questo problema si verifica perché l’endpoint accetta un oggetto JSON completo nel corpo della richiesta senza una corretta validazione dei campi modificabili, portando alla modifica non autorizzata delle impostazioni del sistema e all’escalation dei privilegi.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/a8000cce-0ecb-4820-9cfb-57ba6f4d58a2
- https://github.com/mintplex-labs/anything-llm/commit/52fac844221a9b951d08ceb93c4c014e9397b1f2
Prodotti interessati
- mintplex-labs – mintplex-labs/anything-llm
Relazioni con altri prodotti
Produttore:mintplex-labs
Prodotto: mintplex-labs/anything-llm
Anno: 2024
CWE: CWE-915
CVSS: 0.0