PT-2026-39221 · Unknown · Anything-Llm

C4Tzzz

Publicado

2026-05-08

Atualizado

2026-05-18

CVE-2026-42456

CVSS v3.1

4.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas AnythingLLM versões anteriores a 1.12.1

Description Uma referência direta a objeto insegura (IDOR) existe no endpoint de conversão de texto em fala. O endpoint "/api/workspace/:slug/tts/:chatId" valida a associação ao espaço de trabalho, mas não impõe a propriedade da linha de chat selecionada. Isso permite que um usuário autenticado acesse a resposta privada do assistente de outro usuário em formato de áudio se o chatId for conhecido ou adivinhado.

Recommendations Atualizar para a versão 1.12.1.

Exploit

Correção

Information Disclosure

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-639

Identificadores relacionados

CVE-2026-42456

Produtos afetados

Anything-Llm

PT-2026-39221 · Unknown · Anything-Llm

CVE-2026-42456

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8