CVE-2024-4084

mintplex-labs/anything-llm (versões afetadas não especificadas)

Existe uma vulnerabilidade do tipo Server-Side Request Forgery (SSRF), que permite que invasores contornem as restrições destinadas a limitar o acesso a endereços IP e protocolos da intranet. Apesar da filtragem de endereços IP da intranet que começam com 192, 172, 10 e 127, e da limitação dos protocolos de acesso a HTTP e HTTPS, os invasores podem contornar essas restrições usando representações alternativas de endereços IP e acessando outras portas no localhost. Isso permite que os invasores acessem recursos da rede interna, ataquem serviços web internos, escaneiem hosts internos e, potencialmente, acessem pontos de extremidade de metadados da AWS. O problema se deve à validação insuficiente de URLs fornecidas pelo usuário.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.