CRITICAL🇬🇧 English

CVE-2024-0404

Mass assignment w anything-llm umożliwia nieautoryzowane tworzenie kont admin

CVSS 9.1v3.0pub. 2024-04-16upd. 2025-07-09

Podatność typu mass assignment w endpoincie `/api/invite/:code` aplikacji anything-llm pozwala nieuprawnionemu użytkownikowi na utworzenie konta z uprawnieniami administratora. Jest to krytyczny problem, ponieważ atakujący może przejąć pełną kontrolę nad instancją bez posiadania żadnych wcześniejszych uprawnień.

Pokaż oryginał (EN)

A mass assignment vulnerability exists in the `/api/invite/:code` endpoint of the mintplex-labs/anything-llm repository, allowing unauthorized creation of high-privileged accounts. By intercepting and modifying the HTTP request during the account creation process via an invitation link, an attacker can add a `role` property with `admin` value, thereby gaining administrative access. This issue arises due to the lack of property allowlisting and blocklisting, enabling the attacker to exploit the system and perform actions as an administrator.

🤖 Analiza AI
Jak działa

Podczas rejestracji konta za pomocą linku zaproszenia aplikacja przetwarza żądanie HTTP bez filtrowania (allowlisting/blocklisting) dozwolonych pól. Atakujący może przechwycić i zmodyfikować żądanie HTTP, dodając do jego treści pole `role` z wartością `admin`. Brak walidacji po stronie serwera powoduje, że system akceptuje tę wartość i tworzy konto z uprawnieniami administratora zamiast standardowymi uprawnieniami przewidzianymi dla zaproszonych użytkowników.

Skutki

Atakujący uzyskuje pełne uprawnienia administratora w aplikacji anything-llm, co pozwala mu na zarządzanie systemem, dostęp do danych oraz wykonywanie dowolnych działań administracyjnych. Zagrożone jest wysokie poufności i integralności danych przetwarzanych przez aplikację.

Mitygacja

Należy zaktualizować aplikację do wersji zawierającej commit 8cd3a92c660b202655d99bee90b2864694c99946, który wprowadza poprawną walidację pól przesyłanych podczas rejestracji konta. Szczegóły dostępne w referencjach producenta na GitHub oraz na platformie huntr.com.

Kogo dotyczy

Aplikacja mintplex-labs/anything-llm — wersje wskazane w referencjach producenta (commit naprawczy: 8cd3a92c660b202655d99bee90b2864694c99946)

Uwagi

Podatność została zgłoszona za pośrednictwem platformy bug bounty huntr.com. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika (AV:N/AC:L/PR:N/UI:N), co znacząco obniża próg wykorzystania.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mintplexlabs Anythingllm

    APP
    Mintplexlabs
    < 1.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-32626CRITICAL9.6PL ✓ten sam produkt

XSS eskalujący do RCE w AnythingLLM Desktop poprzez podatny renderer Electron

CVE-2024-3279CRITICAL9.1PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w AnythingLLM — nieautoryzowana manipulacja bazą danych

CVE-2024-3104CRITICAL9.8PL ✓ten sam produkt

RCE poprzez command injection w Mintplex Labs AnythingLLM

CVE-2024-3033CRITICAL9.4PL ✓ten sam produkt

Brak autoryzacji w AnythingLLM — destrukcyjny dostęp do VectorDB

CVE-2024-3025CRITICAL9.9PL ✓ten sam produkt

Path Traversal w AnythingLLM — odczyt i usunięcie plików przez logo filename