Критическая XSS-уязвимость в AnythingLLM позволяет удаленно захватывать системы ИИ

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярной платформе для управления большими языковыми моделями (LLM). Уязвимость, получившая идентификаторы BDU:2026-04257 и CVE-2026-32626, затрагивает систему AnythingLLM от компании Mintplex Labs Inc. Эксперты оценивают её базовый уровень опасности как критический с максимальными баллами по шкалам CVSS 2.0 и 3.1. Данная проблема подчёркивает растущие риски безопасности в быстро развивающейся сфере инструментов для искусственного интеллекта.

Детали уязвимости

Уязвимость уже подтверждена производителем. Она классифицируется как недостаточная защита структуры веб-страницы, также известная как межсайтовый скриптинг или XSS (Cross-Site Scripting). Конкретно ошибка находится в сценарии "frontend/src/utils/chat/markdown.js". Эта часть кода отвечает за обработку и отображение разметки в чат-интерфейсе системы. Из-за недостаточной фильтрации пользовательского ввода злоумышленник может внедрить и выполнить произвольный JavaScript-код в контексте сессии жертвы.

Механизм эксплуатации основан на инъекции вредоносного кода. Поскольку уязвимость позволяет удалённую атаку без аутентификации, её потенциальная опасность крайне высока. Злоумышленник, действуя удалённо, может создать специальное сообщение или использовать иной вектор, который при обработке уязвимым скриптом приведёт к выполнению произвольного кода в браузере авторизованного пользователя. Это, в свою очередь, открывает путь для полного компрометирования системы.

Последствия успешной атаки являются катастрофическими. Согласно описанию векторов CVSS, злоумышленник может получить полный контроль над конфиденциальностью, целостностью и доступностью системы (C:I:A). На практике это означает возможность кражи сессионных токенов и учётных данных администратора, несанкционированного доступа к управлению LLM, хищения или повреждения обрабатываемых данных, а также установки постоянного вредоносного присутствия (persistence) в системе. Учитывая, что AnythingLLM часто используется для работы с корпоративными данными и приватными языковыми моделями, утечка может привести к значительным финансовым и репутационным потерям.

Важно отметить, что, согласно BDU, для данной уязвимости уже существует публично доступный эксплойт. Это резко повышает актуальность угрозы, так как снижает порог входа для киберпреступников. Теперь даже злоумышленники с невысокой квалификацией могут попытаться провести атаку, используя готовые инструменты.

К счастью, уязвимость уже устранена. Производитель Mintplex Labs Inc. оперативно отреагировал и выпустил исправление. Проблема была полностью решена в версии, следующей за 1.11.1. Разработчики опубликовали коммит с исправлением в публичном репозитории на GitHub, где детально показаны внесённые изменения. Основная мера по устранению уязвимости - строгое обновление программного обеспечения до актуальной, исправленной версии.

Владельцам и администраторам систем, использующих AnythingLLM версий до 1.11.1 включительно, необходимо немедленно провести процедуру обновления. Промедление создаёт неприемлемые риски для безопасности всей инфраструктуры. Кроме того, рекомендуется проводить аудит журналов доступа на предмет любых подозрительных активностей, особенно связанных с чат-интерфейсом. Для комплексной защиты также стоит применять принципы минимальных привилегий и сегментации сети, чтобы ограничить потенциальный ущерб в случае успешной атаки.

Данный инцидент служит важным напоминанием для всей индустрии. Инструменты для работы с ИИ, будучи мощными и сложными системами, наследуют традиционные веб-уязвимости. Следовательно, процессы безопасной разработки, включающие регулярный аудит кода на наличие уязвимостей вроде XSS, и своевременное применение обновлений остаются критически важными практиками. Безопасность должна быть заложена в основу подобных платформ с самого начала их проектирования.

Детали уязвимости

Ссылки