漏洞标题
mintplex-labs/anything-llm中的不当输入验证
漏洞描述信息
在mintplex-labs/anything-llm中,攻击者可以通过向'/system/enable-multi-user'端点发送畸形的JSON负载来利用输入验证不当的漏洞。这会引发一个错误,该错误被一个catch块捕获,进而删除所有用户并禁用'multi_user_mode'。这个漏洞允许攻击者在不需要密码的情况下删除所有现有用户,并可能创建新的管理员用户,从而导致未经授权访问和应用程序控制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输入验证不恰当
漏洞标题
Improper Input Validation in mintplex-labs/anything-llm
漏洞描述信息
In mintplex-labs/anything-llm, an attacker can exploit improper input validation by sending a malformed JSON payload to the '/system/enable-multi-user' endpoint. This triggers an error that is caught by a catch block, which in turn deletes all users and disables the 'multi_user_mode'. The vulnerability allows an attacker to remove all existing users and potentially create a new admin user without requiring a password, leading to unauthorized access and control over the application.
CVSS信息
N/A
漏洞类别
输入验证不恰当
漏洞标题
AnythingLLM 输入验证错误漏洞
漏洞描述信息
AnythingLLM是符合业务要求的文档聊天机器人。 AnythingLLM 存在输入验证错误漏洞,该漏洞源于允许攻击者删除所有现有用户,并可能在不需要密码的情况下创建新的管理员用户,从而导致对应用程序进行未经授权的访问和控制。
CVSS信息
N/A
漏洞类别
输入验证错误