CVE-2024-3101

mintplex-labs/anything-llm (versões afetadas não especificadas)

O problema está relacionado a uma validação inadequada de entradas, permitindo que invasores aumentem seus privilégios ao desativar o “Modo Multiusuário”. Isso pode ser feito enviando uma solicitação curl especialmente criada com o parâmetro multi user mode definido como false. Como resultado, um invasor pode criar um novo usuário administrador sem a necessidade de senha, levando a acesso administrativo não autorizado.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.