CVE-2026-21484

Nome do Software Vulnerável e Versões Afetadas AnythingLLM (versões afetadas não especificadas)

Descrição O AnythingLLM é um aplicativo desenvolvido para fornecer contexto para Modelos de Linguagem de Grande Porte (LLMs). Antes do commit e287fab56089cf8fcea9ba579a3ecdeca0daa313, a funcionalidade de recuperação de senha exibia mensagens de erro diferentes com base na existência de um nome de usuário, permitindo a enumeração de nomes de usuário. O endpoint da API /password-recovery era vulnerável a esse problema. Isso permitia que um atacante determinasse nomes de usuário válidos ao observar a resposta às solicitações com diferentes valores de username.

Recomendações Atualize para uma versão posterior ao commit e287fab56089cf8fcea9ba579a3ecdeca0daa313.