概要
AnythingLLMのバージョン1.11.1およびそれ以前に、管理者権限バイパスの脆弱性(CVE-2026-32715)が存在すると報告されています。この脆弱性は、本来管理者ロールのユーザーのみにアクセスが制限されているシステム設定の汎用エンドポイントに、マネージャーロールのユーザーがアクセスできてしまうというものです。
影響範囲
- AnythingLLM バージョン 1.11.1 およびそれ以前
想定される影響
この脆弱性が悪用された場合、マネージャー権限を持つユーザー、またはそのアカウントを乗っ取られた攻撃者によって、以下の操作が行われる可能性があります。
- プレーンテキスト形式のSQLデータベース認証情報の読み取り。
- 管理者のみが変更できるはずのグローバル設定(例:デフォルトのシステムプロンプト、Community Hub APIキー)の不正な上書き。
これにより、システム全体のセキュリティが危険にさらされる可能性があります。
攻撃成立条件・悪用状況
この脆弱性は、マネージャーロールのユーザーが特定の汎用システム設定エンドポイントに直接アクセスすることで悪用されると報告されています。
現時点での具体的な悪用状況については、提供された情報からは不明です。
推奨対策
今すぐできる対策(最優先)
- AnythingLLMのアップデート: 開発元から提供される最新バージョンへの速やかなアップデートを強く推奨します。この脆弱性が修正されたバージョンがリリースされているか確認し、適用してください。
中長期的な対策
- アクセス権限の見直し: 最小権限の原則に基づき、各ユーザーロールに与えられているアクセス権限を定期的に見直し、必要最小限に制限することを検討してください。
- ログ監視の強化: 不審なシステム設定変更やデータベースアクセスがないか、ログ監視を強化することを推奨します。
一時的な緩和策
現時点では、具体的な一時的な緩和策は報告されていません。根本的な解決には、開発元による修正パッチの適用が不可欠と考えられます。
確認方法
利用しているAnythingLLMのバージョンが1.11.1以前であるかを確認してください。
参考情報
- CVE-2026-32715 詳細: https://cvefeed.io/vuln/detail/CVE-2026-32715