漏洞标题
mintplex-labs/anything-llm中的不当输入验证
漏洞描述信息
在mintplex-labs/anything-llm中,存在一个漏洞,原因是工作区更新过程中输入验证不当。具体来说,应用程序未能验证或格式化通过HTTP POST请求发送到`/api/workspace/:workspace-slug/update`的JSON数据,从而允许其在数据库查询中执行,而无需任何限制。这个缺陷使得具有管理员角色的用户能够构建包含嵌套写操作的请求,从而实际上允许他们创建新的管理员账户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
输入验证不恰当
漏洞标题
Improper Input Validation in mintplex-labs/anything-llm
漏洞描述信息
In mintplex-labs/anything-llm, a vulnerability exists due to improper input validation in the workspace update process. Specifically, the application fails to validate or format JSON data sent in an HTTP POST request to `/api/workspace/:workspace-slug/update`, allowing it to be executed as part of a database query without restrictions. This flaw enables users with a manager role to craft a request that includes nested write operations, effectively allowing them to create new Administrator accounts.
CVSS信息
N/A
漏洞类别
输入验证不恰当
漏洞标题
AnythingLLM 输入验证错误漏洞
漏洞描述信息
AnythingLLM是符合业务要求的文档聊天机器人。 AnythingLLM存在输入验证错误漏洞,该漏洞源于输入验证不当,具有管理员角色的用户能够制作包含嵌套写入操作的请求,从而创建新的管理员帐户。
CVSS信息
N/A
漏洞类别
输入验证错误