CRITICAL🇬🇧 English

CVE-2024-3025

Path Traversal w AnythingLLM — odczyt i usunięcie plików przez logo filename

CVSS 9.9v3.0pub. 2024-04-10upd. 2025-07-09

Aplikacja mintplex-labs/anything-llm jest podatna na atak path traversal z powodu braku walidacji nazwy pliku logo przesyłanego przez użytkownika. Atakujący może odczytać lub usunąć dowolne pliki systemu, w tym wrażliwe dane aplikacji, takie jak baza danych.

Pokaż oryginał (EN)

mintplex-labs/anything-llm is vulnerable to path traversal attacks due to insufficient validation of user-supplied input in the logo filename functionality. Attackers can exploit this vulnerability by manipulating the logo filename to reference files outside of the restricted directory. This can lead to unauthorized reading or deletion of files by utilizing the `/api/system/upload-logo` and `/api/system/logo` endpoints. The issue stems from the lack of filtering or validation on the logo filename, allowing attackers to target sensitive files such as the application's database.

🤖 Analiza AI
Jak działa

Podatność wynika z braku filtrowania i walidacji nazwy pliku logo w endpointach `/api/system/upload-logo` oraz `/api/system/logo`. Atakujący z podstawowym poziomem uwierzytelnienia może zmanipulować nazwę pliku logo, wstawiając sekwencje path traversal (np. `../../`), co pozwala na odwołanie się do plików poza dozwolonym katalogiem. W ten sposób możliwe jest zarówno odczytanie, jak i usunięcie dowolnych plików dostępnych dla procesu aplikacji, w tym bazy danych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych plików aplikacji (w tym bazy danych) lub trwale je usunąć, co prowadzi do naruszenia poufności danych oraz potencjalnej utraty integralności i dostępności systemu.

Mitygacja

Należy zaktualizować aplikację do wersji zawierającej fix wprowadzony w commicie 7de23dbb2da932fbfb39f56d981784d3702cf5ce dostępnym w repozytorium GitHub mintplex-labs/anything-llm. Szczegóły w referencjach producenta oraz raporcie huntr.com.

Kogo dotyczy

mintplex-labs/anything-llm — wersje wskazane w referencjach producenta (przed commitem 7de23dbb2da932fbfb39f56d981784d3702cf5ce)

Uwagi

Podatność została zgłoszona za pośrednictwem platformy huntr.com (bounty fb09a352-1016-4481-ae88-7460e2b6062b). Wysoki wynik CVSS 9.9 wynika z zakresu (Scope: Changed) oraz pełnego wpływu na poufność, integralność i dostępność przy niskich wymaganiach dotyczących uprawnień.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Mintplexlabs Anythingllm

    APP
    Mintplexlabs
    < 1.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-32626CRITICAL9.6PL ✓ten sam produkt

XSS eskalujący do RCE w AnythingLLM Desktop poprzez podatny renderer Electron

CVE-2024-3279CRITICAL9.1PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w AnythingLLM — nieautoryzowana manipulacja bazą danych

CVE-2024-3104CRITICAL9.8PL ✓ten sam produkt

RCE poprzez command injection w Mintplex Labs AnythingLLM

CVE-2024-3033CRITICAL9.4PL ✓ten sam produkt

Brak autoryzacji w AnythingLLM — destrukcyjny dostęp do VectorDB

CVE-2024-0404CRITICAL9.1PL ✓ten sam produkt

Mass assignment w anything-llm umożliwia nieautoryzowane tworzenie kont admin