发布日期：2024-06-06
更新日期：2024-09-05

受影响系统：

AnythingLLM AnythingLLM <= 1.0.0

描述：

---

CVE(CAN) ID: CVE-2024-3110

AnythingLLM是符合业务要求的文档聊天机器人。
AnythingLLM 1.0.0及之前版本存在存储型跨站脚本漏洞，该漏洞源于未能对其进行适当的清理和验证，攻击者可利用此漏洞制作恶意URL窃取管理员授权执行未经授权的操作，将权限升级为管理员。

<**>

建议：

---

厂商补丁：

AnythingLLM
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/mintplex-labs/anything-llm/commit/49f30e051c9f6e28977d57d0e5f49c1294094e41

浏览次数：108
严重程度：0（网友投票）