mintplex-labs/anything-llm 中的拒绝服务 (CVE-2024-4284)
CVE编号
CVE-2024-4284利用情况
暂无补丁情况
N/A披露时间
2024-05-20漏洞描述
mintplex-labs/anything-llm中的一个漏洞允许通过将用户的`id`属性修改为0来导致拒绝服务(DoS)情况。这个问题影响软件的当前版本,最新的提交ID为`57984fa85c31988b2eff429adfc654c46e0c342a`。利用这个漏洞,一个具有管理员或管理权限的攻击者可以使选择的账户完全无法访问。该应用程序用于暂停账户的机制不提供通过用户界面来逆转这种情况的手段,导致资源消耗无法控制。这个漏洞是由于用户修改端点和中间件的令牌验证逻辑缺乏输入验证和清理而引入的。这个问题在软件的1.0.0版本中得到了解决。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/mintplex-labs/anything-llm/commit/1b35bcbeab10b77e6dbd263c... | |
| https://huntr.com/bounties/a5f45596-0aef-49e0-9f7d-63f1955a1552 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 高
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论