CVE-2026-47713

Nome do Software Vulnerável e Versões Afetadas AnythingLLM versões anteriores a 1.13.0

Descrição Existe um problema onde um token de dispositivo móvel criado no modo de usuário único permanece válido após a migração para o modo de múltiplos usuários, mesmo que o registro do dispositivo tenha o userId definido como nulo. O middleware de autenticação móvel continua a aceitar esse token obsoleto. Como nenhum usuário está associado à solicitação, os manipuladores móveis utilizam ramificações de acesso a dados não escopadas, retornando espaços de trabalho e conteúdo sem filtragem por usuário. Isso permite que um token de pré-migração enumere espaços de trabalho atribuídos a outros usuários e recupere metadados de threads e conteúdo de chat.

Recomendações Atualize para a versão 1.13.0.