Uncontrolled Resource Consumption in mintplex-labs/anything-llm (CVE-2024-5208)
CVE编号
CVE-2024-5208利用情况
暂无补丁情况
N/A披露时间
2024-06-19漏洞描述
在mintplex-labs/anything-llm的upload-link端点存在一个未受控的资源消耗漏洞,攻击者可以通过发送无效上传请求来导致服务拒绝(DOS)。具体来说,攻击者可以通过发送带有'Content-Length: 0'头的不带内容体或带有'Content-Length: 9'头的任意内容体(如'asdasdasd')的请求来使服务器关闭。具有至少'Manager'角色的用户可以发送定制请求到任何工作区来重现此漏洞。这表明之前的修复措施并未有效地缓解这一漏洞。解决建议
"将组件 mintplex-labs/anything-llm 升级至 1.0.0 及以上版本"
参考链接 |
|
---|---|
https://github.com/mintplex-labs/anything-llm/commit/e2439c6d4c3cfdacd96cd1b7... | |
https://huntr.com/bounties/6c8bdfa1-ec56-4b02-bde9-cfc27470e6ca |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
CWE-ID | 漏洞类型 |
Exp相关链接

版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论