An uncontrolled resource consumption vulnerability exists in the `upload-link` endpoint of mintplex-labs/anything-llm. This vulnerability allows attackers to cause a denial of service (DOS) by shutting down the server through sending invalid upload requests. Specifically, the server can be made to shut down by sending an empty body with a 'Content-Length: 0' header or by sending a body with arbitrary content, such as 'asdasdasd', with a 'Content-Length: 9' header. The vulnerability is reproducible by users with at least a 'Manager' role, sending a crafted request to any workspace. This issue indicates that a previous fix was not effective in mitigating the vulnerability.
Existe una vulnerabilidad de consumo de recursos incontrolado en el endpoint `upload-link` de mintplex-labs/anything-llm. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DOS) apagando el servidor mediante el envío de solicitudes de carga no válidas. Específicamente, se puede hacer que el servidor se apague enviando un cuerpo vacío con un encabezado 'Content-Length: 0' o enviando un cuerpo con contenido arbitrario, como 'asdasdasd', con un encabezado 'Content-Length: 9'. . La vulnerabilidad es reproducible por usuarios con al menos un rol de "Administrador", enviando una solicitud manipulada a cualquier espacio de trabajo. Este problema indica que una solución anterior no fue eficaz para mitigar la vulnerabilidad.
