製品・ソフトウェアに関する情報
Vulnerability Search
mintplexlabs の anythingllm desktop および anythingllm webapp におけるクロスサイトスクリプティングの脆弱性
Title mintplexlabs の anythingllm desktop および anythingllm webapp におけるクロスサイトスクリプティングの脆弱性
Summary

mintplexlabs の anythingllm desktop および anythingllm webapp には、クロスサイトスクリプティングの脆弱性が存在します。

Possible impacts 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date June 6, 2024, midnight
Registration Date Oct. 24, 2024, 5:03 p.m.
Last Update Oct. 24, 2024, 5:03 p.m.
CVSS3.0 : 緊急
Score 9.6
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Affected System
mintplexlabs
anythingllm desktop 1.4.2 未満
anythingllm webapp 1.2.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2024年10月24日]
  掲載		 Oct. 24, 2024, 5:03 p.m.
NVD Vulnerability Information
CVE-2024-3166
Summary

A Cross-Site Scripting (XSS) vulnerability exists in mintplex-labs/anything-llm, affecting both the desktop application version 1.2.0 and the latest version of the web application. The vulnerability arises from the application's feature to fetch and embed content from websites into workspaces, which can be exploited to execute arbitrary JavaScript code. In the desktop application, this flaw can be escalated to Remote Code Execution (RCE) due to insecure application settings, specifically the enabling of 'nodeIntegration' and the disabling of 'contextIsolation' in Electron's webPreferences. The issue has been addressed in version 1.4.2 of the desktop application.

Publication Date June 7, 2024, 4:16 a.m.
Registration Date June 7, 2024, 10 a.m.
Last Update Nov. 21, 2024, 6:29 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:mintplexlabs:anythingllm_desktop:*:*:*:*:*:*:*:* 1.4.2
cpe:2.3:a:mintplexlabs:anythingllm_webapp:*:*:*:*:*:*:*:* 1.2.0
Related information, measures and tools
Common Vulnerabilities List