2024年2月27日,网上公开披露了一个收集内部解析的IP漏洞(CVE-2024-0759),请各位用户尽快安装漏洞补丁。
漏洞风险:如果在内部网络上托管了AnythingLLM的实例,并且攻击者明确被授予经理或管理员级别的权限,他们可以进行内部链接抓取,从而解析同一网络上其他服务的IP。这将要求攻击者还能够猜测这些内部IP,因为不可能进行`/*`范围查询,但可以通过暴力破解。对于同一网络上的其他服务,有一项义务保证这些服务不会通过简单的CuRL零认证就能够完全开放和访问,因为不可能设置标头或通过链接收集器访问。
风险等级:高风险。
影响范围:
mintplex-labs/anything-llm<1.0.0
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
https://github.com/Mintplex-Labs/anything-llm
