Katalog CVE

CVE-2026-48116

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

AnythingLLM to aplikacja, która przekształca fragmenty treści w kontekst używany przez LLM podczas czatowania. W wersjach przed 1.13.0, umiejętność agentów filesystem-search-files przekazuje parametr wzorca kontrolowany przez LLM do ripgrep jako argument pozycyjny, co pozwala na wykonanie dowolnych poleceń w kontenerze serwera AnythingLLM.

Ocena ryzyka

Atakujący, który może czatować z agentem na wdrożeniu z włączonym wtyczką filesystem, może wykorzystać tę podatność do uruchamiania dowolnych poleceń w kontenerze serwera, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 1.13.0 lub nowszej, aby usunąć tę podatność oraz przegląd konfiguracji wtyczek w celu ograniczenia dostępu do agentów.

Oryginalny opis (angielski, źródło NVD)

AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. Prior to 1.13.0, the filesystem-search-files agent skill passes its LLM-controlled pattern parameter to ripgrep as a positional argument without a -- end-of-options separator. ripgrep parses any argument that starts with - as an option, so a pattern of --pre=/bin/sh turns ripgrep into a script executor: it runs /bin/sh <file> for every file it walks. An attacker who can chat with an agent on a deployment with the filesystem plugin enabled (the default in the official Docker image) can use this, together with the sibling filesystem-write-text-file skill, to run arbitrary commands inside the AnythingLLM server container. This vulnerability is fixed in 1.13.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS