Vulnerabilidad en mintplex-labs/anything-llm (CVE-2024-5211)

Una vulnerabilidad de path traversal en mintplex-labs/anything-llm permitió a un administrador omitir la función `normalizePath()`, destinada a defenderse contra ataques de path traversal. Esta vulnerabilidad permite al administrador leer, eliminar o sobrescribir el archivo de base de datos 'anythingllm.db' y otros archivos almacenados en el directorio de 'almacenamiento', como claves de comunicación interna y secretos .env. La explotación de esta vulnerabilidad podría comprometer la aplicación, ataques de denegación de servicio (DoS) y apropiación no autorizada de cuentas de administrador. El problema surge de la validación inadecuada de la entrada proporcionada por el usuario en el proceso de configuración de un logotipo personalizado para la aplicación, que puede manipularse para lograr lectura, eliminación o sobrescritura arbitraria de archivos, y para ejecutar un ataque DoS eliminando archivos críticos necesarios para el funcionamiento de la aplicación.