Vulnerabilidad en huntr.dev (CVE-2024-5208)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/06/2024
Última modificación:
15/10/2025
Descripción
Existe una vulnerabilidad de consumo de recursos incontrolado en el endpoint `upload-link` de mintplex-labs/anything-llm. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DOS) apagando el servidor mediante el envío de solicitudes de carga no válidas. Específicamente, se puede hacer que el servidor se apague enviando un cuerpo vacío con un encabezado 'Content-Length: 0' o enviando un cuerpo con contenido arbitrario, como 'asdasdasd', con un encabezado 'Content-Length: 9'. . La vulnerabilidad es reproducible por usuarios con al menos un rol de "Administrador", enviando una solicitud manipulada a cualquier espacio de trabajo. Este problema indica que una solución anterior no fue eficaz para mitigar la vulnerabilidad.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mintplexlabs:anythingllm:*:*:*:*:*:*:*:* | 1.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mintplex-labs/anything-llm/commit/e2439c6d4c3cfdacd96cd1b7b92d1f89c3cc8459
- https://huntr.com/bounties/6c8bdfa1-ec56-4b02-bde9-cfc27470e6ca
- https://github.com/mintplex-labs/anything-llm/commit/e2439c6d4c3cfdacd96cd1b7b92d1f89c3cc8459
- https://huntr.com/bounties/6c8bdfa1-ec56-4b02-bde9-cfc27470e6ca