A mass assignment vulnerability exists in the `/api/invite/:code` endpoint of the mintplex-labs/anything-llm repository, allowing unauthorized creation of high-privileged accounts. By intercepting and modifying the HTTP request during the account creation process via an invitation link, an attacker can add a `role` property with `admin` value, thereby gaining administrative access. This issue arises due to the lack of property allowlisting and blocklisting, enabling the attacker to exploit the system and perform actions as an administrator.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMintplexlabs Anythingllm
APPMintplexlabs< 1.0.0
Related vulnerabilities
XSS eskalujący do RCE w AnythingLLM Desktop poprzez podatny renderer Electron
Nieprawidłowa kontrola dostępu w AnythingLLM — nieautoryzowana manipulacja bazą danych
RCE poprzez command injection w Mintplex Labs AnythingLLM
Brak autoryzacji w AnythingLLM — destrukcyjny dostęp do VectorDB
Path Traversal w AnythingLLM — odczyt i usunięcie plików przez logo filename