Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-5213)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/06/2024
Última modificación:
15/10/2025
Descripción
En las versiones de mintplex-labs/anything-llm hasta la 1.5.3 incluida, se descubrió un problema por el cual el hash de la contraseña de un usuario se devuelve en la respuesta después de iniciar sesión (`POST /api/request-token`) y después de la creación de la cuenta. (`POST /api/admin/usuarios/nuevo`). Esta exposición se produce porque todo el objeto Usuario, incluido el hash de la contraseña de bcrypt, se incluye en la respuesta enviada al frontend. Esta práctica podría conducir potencialmente a la exposición de información confidencial a pesar del uso de bcrypt, un potente algoritmo hash. Se recomienda no exponer ninguna pista sobre contraseñas en la interfaz.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mintplexlabs:anythingllm:*:*:*:*:*:*:*:* | 1.5.3 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/mintplex-labs/anything-llm/commit/9df4521113ddb9a3adb5d0e3941e7d494992629c
- https://huntr.com/bounties/8794fb65-50aa-40e3-b348-a29838dbf63d
- https://github.com/mintplex-labs/anything-llm/commit/9df4521113ddb9a3adb5d0e3941e7d494992629c
- https://huntr.com/bounties/8794fb65-50aa-40e3-b348-a29838dbf63d