Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-3166)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
06/06/2024
Última modificación:
23/10/2024
Descripción
Existe una vulnerabilidad de Cross-site Scripting (XSS) en mintplex-labs/anything-llm, que afecta tanto a la versión 1.2.0 de la aplicación de escritorio como a la última versión de la aplicación web. La vulnerabilidad surge de la función de la aplicación para buscar e incrustar contenido de sitios web en espacios de trabajo, que pueden explotarse para ejecutar código JavaScript arbitrario. En la aplicación de escritorio, esta falla se puede escalar a ejecución remota de código (RCE) debido a configuraciones inseguras de la aplicación, específicamente la habilitación de 'nodeIntegration' y la deshabilitación de 'contextIsolation' en las preferencias web de Electron. El problema se solucionó en la versión 1.4.2 de la aplicación de escritorio.
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mintplexlabs:anythingllm_desktop:*:*:*:*:*:*:*:* | 1.4.2 (excluyendo) | |
| cpe:2.3:a:mintplexlabs:anythingllm_webapp:*:*:*:*:*:*:*:* | 1.2.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página