製品・ソフトウェアに関する情報

JVN脆弱性詳細

mintplexlabsのanythingllmにおける複数の脆弱性

Title	mintplexlabsのanythingllmにおける複数の脆弱性
Summary	AnythingLLMは、コンテンツの断片をチャット中の参照として任意のLLMが利用できるコンテキストに変換するアプリケーションです。バージョン1.13.0以前では、シングルユーザーモードで作成された承認済みのモバイルデバイストークンが、deviceレコードのuserIdがnullであってもシングルユーザーからマルチユーザーへの移行後も有効なままでした。マルチユーザーモードでは、その古いトークンをモバイル認証ミドルウェアが依然として受け入れます。リクエストにユーザーが紐付けられていないため、下流のモバイルハンドラーはスコープ外データアクセスブランチにフォールバックし、ユーザーごとのフィルタリングなしにワークスペースやそのコンテンツを返しました。これにより、移行前のモバイルトークンを用いて他のユーザーにのみ割り当てられたワークスペースを列挙し、被害者所有のスレッドメタデータおよびチャット内容をマルチユーザーモードで取得することが可能となっていました。この脆弱性はバージョン1.13.0で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 28, 2026, midnight
Registration Date	June 5, 2026, 10:45 a.m.
Last Update	June 5, 2026, 10:45 a.m.

CVSS3.0 : 警告
Score	4.3
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Affected System

mintplexlabs

anythingllm 1.13.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47713	https://www.cve.org/CVERecord?id=CVE-2026-47713
National Vulnerability Database (NVD)
2	CVE-2026-47713	https://nvd.nist.gov/vuln/detail/CVE-2026-47713

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-285	https://cwe.mitre.org/data/definitions/285.html
2	CWE-639	https://cwe.mitre.org/data/definitions/639.html

ベンダー情報

No	Name	URL
GitHub
1	Legacy mobile device tokens bypass multi-user workspace scoping after mode migration Advisory Mintplex-Labs/anything-llm GitHub	https://github.com/Mintplex-Labs/anything-llm/security/advisories/GHSA-h349-hp2v-8rhw

その他

No	Name	URL
関連文書
1	Update DeviceTokens to already-admin user on MUM migration (#5655) Mintplex-Labs/anything-llm@9d714f9 GitHub	https://github.com/Mintplex-Labs/anything-llm/commit/9d714f95c124b61df00b840e36f623a2eb7e7eb4

Change Log

No	Changed Details	Date of change
1	[2026年06月05日] 掲載	June 5, 2026, 10:45 a.m.

NVD Vulnerability Information

CVE-2026-47713

Summary	AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. Prior to 1.13.0, an approved mobile device token created in single-user mode can survive single-user -> multi-user migration even when the device record has userId = null. In multi-user mode, that stale token is still accepted by the mobile authentication middleware. Because no user is attached to the request, downstream mobile handlers fall back to unscoped data-access branches and return workspaces and workspace content without per-user filtering. This permits a pre-migration mobile token to enumerate a workspace assigned only to another user and retrieve victim-owned thread metadata and chat content in multi-user mode. This vulnerability is fixed in 1.13.0.
Publication Date	May 29, 2026, 7:17 a.m.
Registration Date	May 30, 2026, 4:11 a.m.
Last Update	June 4, 2026, 1:51 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:mintplexlabs:anythingllm::::::::					1.13.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/Mintplex-Labs/anything-llm/commit/9d714f95c124b61df00b840e36f623a2eb7e7eb4	security-advisories@github.com
2	https://github.com/Mintplex-Labs/anything-llm/security/advisories/GHSA-h349-hp2v-8rhw	security-advisories@github.com
3	https://github.com/Mintplex-Labs/anything-llm/security/advisories/GHSA-h349-hp2v-8rhw	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-285	不適切な認可	https://cwe.mitre.org/data/definitions/285.html
2	CWE-639	ユーザ制御の鍵による認証回避	https://cwe.mitre.org/data/definitions/639.html