目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-32715— AnythingLLM 安全漏洞

CVSS 3.8 · Low EPSS 0.20% · P10
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-32715 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
AnythingLLM Manager Privilege Bypass Allows Access to Admin-Only System Preferences
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
AnythingLLM is an application that turns pieces of content into context that any LLM can use as references during chatting. In 1.11.1 and earlier, The two generic system-preferences endpoints allow manager role access, while every other surface that touches the same settings is restricted to admin only. Because of this inconsistency, a manager can call the generic endpoints directly to read plaintext SQL database credentials and overwrite admin-only global settings such as the default system prompt and the Community Hub API key.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
授权机制不正确
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
AnythingLLM 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
AnythingLLM是Mintplex开源的一个一体化AI应用程序。 AnythingLLM 1.11.1及之前版本存在安全漏洞,该漏洞源于两个通用系统偏好设置端点允许管理器角色访问,可能导致管理器读取明文SQL数据库凭据并覆盖仅限管理员访问的全局设置。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
Mintplex-Labsanything-llm <= 1.11.1 -

二、漏洞 CVE-2026-32715 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-32715 的情报信息

登录查看更多情报信息。

CVE-2026-32715 补丁与修复 (1)

CVE-2026-32715 厂商安全公告 (1)

同批安全公告 · Mintplex-Labs · 2026-03-13 · 共 6 条

CVE-2026-326269.7 CRITICALAnythingLLM 跨站脚本漏洞
CVE-2026-326177.1 HIGHAnythingLLM 安全漏洞
CVE-2026-327194.2 MEDIUMAnythingLLM 代码注入漏洞
CVE-2026-327172.7 LOWAnythingLLM 安全漏洞
CVE-2026-32628AnythingLLM SQL注入漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-32715

暂无评论


发表评论