CVE-2026-48116
HighSummary
AnythingLLM to aplikacja, która przekształca fragmenty treści w kontekst używany przez LLM podczas czatowania. W wersjach przed 1.13.0, umiejętność agentów filesystem-search-files przekazuje parametr wzorca kontrolowany przez LLM do ripgrep jako argument pozycyjny, co pozwala na wykonanie dowolnych poleceń w kontenerze serwera AnythingLLM.
Risk Assessment
Atakujący, który może czatować z agentem na wdrożeniu z włączonym wtyczką filesystem, może wykorzystać tę podatność do uruchamiania dowolnych poleceń w kontenerze serwera, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się aktualizację do wersji 1.13.0 lub nowszej, aby usunąć tę podatność oraz przegląd konfiguracji wtyczek w celu ograniczenia dostępu do agentów.
Original NVD description (English source)
AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. Prior to 1.13.0, the filesystem-search-files agent skill passes its LLM-controlled pattern parameter to ripgrep as a positional argument without a -- end-of-options separator. ripgrep parses any argument that starts with - as an option, so a pattern of --pre=/bin/sh turns ripgrep into a script executor: it runs /bin/sh <file> for every file it walks. An attacker who can chat with an agent on a deployment with the filesystem plugin enabled (the default in the official Docker image) can use this, together with the sibling filesystem-write-text-file skill, to run arbitrary commands inside the AnythingLLM server container. This vulnerability is fixed in 1.13.0.

