Aleister1102

**Nome do Software Vulnerável e Versões Afetadas** auth0-js versões 8.11.0 até 9.32.0 **Descrição** A validação inadequada no SDK Auth0.js pode permitir o retorno de dados do perfil do usuário quando um token ID inválido, especificamente criado, é usado em conjunto com um token de acesso válido. Este problema ocorre em aplicações onde o controle de acesso depende de regras definidas no Auth0 Actions, podendo levar à divulgação não autorizada de informações. **Recomendações** Atualize o auth0-js para a versão 10.0.0 ou superior.

Name of the Vulnerable Software and Affected Versions Nest versões anteriores a 11.1.18 Description A função `SseStream. transform()` interpola `message.type` e `message.id` diretamente na saída de texto do protocolo Server-Sent Events sem higienizar caracteres de nova linha (r, ). Como o protocolo SSE usa r e como delimitadores de campo e como limites de evento, um invasor que possa influenciar esses campos pode injetar eventos SSE arbitrários, falsificar tipos de evento e corromper o estado de reconexão. Um invasor pode forjar eventos SSE com tipos de evento arbitrários `event:`, fazendo com que os callbacks `EventSource.addEventListener()` do lado do cliente sejam acionados para tipos de evento incorretos. Eles também podem injetar cargas úteis `data:`, o que pode levar a XSS se o cliente renderizar dados SSE como HTML sem higienização. Além disso, os invasores podem injetar campos `id:`, corrompendo o cabeçalho `Last-Event-ID` na reconexão, fazendo com que o cliente perca ou reproduza eventos. O ataque requer que o desenvolvedor mapeie dados influenciados pelo usuário para os campos `type` ou `id` das mensagens SSE. Recommendations Atualize para a versão 11.1.18 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Go MCP SDK versions prior to 1.4.1 **Description** The Go MCP SDK’s Streamable HTTP transport was susceptible to accepting browser-generated cross-site `POST` requests without validating the `Origin` header or requiring `Content-Type: application/json`. In deployments lacking Authorization, particularly in stateless or sessionless setups, this permitted an arbitrary website to send MCP requests to a local server, potentially triggering tool execution. A malicious website could send cross-site POST requests with `Content-Type: text/plain`, bypassing CORS preflight barriers due to CORS-safelisted properties. The vulnerable component is the Streamable HTTP transport. The API endpoint is accepting `POST` requests. The vulnerable parameter is the `Origin` header. **Recommendations** Update to version 1.4.1 or later. Version 1.4.1 requires Go 1.25 or later.

**Name of the Vulnerable Software and Affected Versions** WeKnora versions 0.2.5 through 0.2.9 WeKnora version 0.2.10 **Description** WeKnora, an LLM-powered framework for deep document understanding and semantic retrieval, contains an unauthenticated remote code execution (RCE) issue in the MCP stdio configuration validation. The application permits unrestricted user registration, allowing attackers to create accounts and exploit a command injection flaw. Despite the implementation of command whitelists (`npx`, `uvx`) and argument/environment variable blacklists, the validation can be bypassed using the `-p` flag with `npx node`. This enables attackers to execute arbitrary commands with the application’s privileges, potentially leading to complete system compromise. The vulnerable code flow involves the `ValidateStdioConfig()` and `ValidateStdioArgs()` functions, where the `-p` flag is not blocked in the `DangerousArgPatterns` regex list, allowing execution of JavaScript payloads via `npx node -p <payload>`. The issue was silently patched in version 0.2.10, without a public CVE or security advisory, potentially leaving customers unaware. **Recommendations** Upgrade to WeKnora version 0.2.10 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores a 0.3.0 **Descrição** O WeKnora é um framework para compreensão profunda de documentos e recuperação semântica. Existe uma falha de bypass de autorização entre tenants no endpoint de cópia da base de conhecimento. Um usuário autenticado pode clonar a base de conhecimento de outro tenant para o próprio tenant ao conhecer ou adivinhar o ID da base de conhecimento de origem, resultando em exfiltração em massa de dados. O problema ocorre devido a verificações insuficientes de controle de acesso ao manipular o parâmetro `source id` no endpoint `POST /api/v1/knowledge-bases/copy`. Especificamente, a função `GetKnowledgeBaseByID` na camada de repositório não impõe isolamento de tenant, permitindo acesso a bases de conhecimento de outros tenants. O código vulnerável copia a configuração e o conteúdo da base de conhecimento de origem para uma nova base de conhecimento no tenant do atacante. O parâmetro `source id`, fornecido pelo atacante, é utilizado sem validação adequada. **Recomendações** As versões anteriores a 0.3.0 devem ser atualizadas para a versão 0.3.0 ou posterior para resolver este problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores à 0.3.0 **Descrição** O WeKnora, um framework baseado em LLM para compreensão profunda de documentos e recuperação semântica, contém uma vulnerabilidade de DNS rebinding na ferramenta `web fetch`. Um atacante não autenticado pode contornar a validação de URL e acessar recursos internos do servidor, incluindo endereços IP privados como 127.0.0.1 e 192.168.x.x. Isso é possível ao criar um domínio malicioso que inicialmente resolve para um endereço IP público durante a validação e, em seguida, resolve para um endereço IP privado durante a execução. A ferramenta `web fetch` não possui DNS pinning completo, realizando a validação da URL apenas uma vez por meio da função `validateParams()`. A URL original é então repassada inalterada para a função `fetchHTMLContent()`, que por fim chama `fetchWithChromedp()`. O navegador sem interface (Chromedp) resolve o hostname independentemente, sem DNS pinning, criando uma condição time-of-check-time-of-use (TOCTOU). A vulnerabilidade permite o acesso a serviços locais sensíveis e a possível exfiltração de dados. **Recomendações** Atualize o WeKnora para a versão 0.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores a 0.2.12 **Descrição** O WeKnora, um framework alimentado por LLM para compreensão profunda de documentos e recuperação semântica, contém uma vulnerabilidade de execução remota de código (RCE) em sua funcionalidade de consulta ao banco de dados. O sistema de validação do aplicativo não inspeciona minuciosamente os nós filhos dentro de expressões de array e expressões de linha do PostgreSQL, permitindo que invasores contornem as proteções contra injeção de SQL. Ao incorporar funções maliciosas do PostgreSQL dentro dessas expressões e combiná-las com operações de objetos grandes e capacidades de carregamento de bibliotecas, um invasor não autenticado pode executar código arbitrário no servidor de banco de dados com os privilégios do usuário do banco de dados. O problema origina-se de uma validação incompleta dentro da função `validateNode()`, especificamente a falta de manipuladores para os tipos de nó `ArrayExpr` e `RowExpr`. Isso permite que invasores introduzam sorrateiramente funções perigosas, como `pg read file`, `lo from bytea`, `lo put`, `lo export` e `pg reload conf`, nas consultas. Uma prova de conceito demonstra a capacidade de ler arquivos arbitrários, carregar uma biblioteca compartilhada maliciosa e, finalmente, obter execução de código. A exploração bem-sucedida pode levar ao comprometimento completo do sistema, incluindo extração de dados, modificação, interrupção de serviço, persistência e movimento lateral. **Recomendações** Atualize para a versão 0.2.12 ou posterior do WeKnora. Corrija a validação de nós da AST para inspecionar recursivamente expressões de array e expressões de linha. Implemente uma lista de bloqueio rigorosa de funções perigosas do PostgreSQL. Restrinja o usuário do banco de dados do aplicativo a permissões somente SELECT, sem direitos de execução em funções administrativas. Desative o carregamento dinâmico de bibliotecas na configuração do PostgreSQL limpando `dynamic library path` e `session preload libraries`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores a 0.2.12 **Descrição** O WeKnora é um framework para compreensão profunda de documentos e recuperação semântica. Uma falha de controle de acesso na ferramenta de consulta de banco de dados permite que qualquer tenant autenticado leia dados sensíveis pertencentes a outros tenants. Isso inclui chaves de API, configurações de modelos e mensagens privadas. O aplicativo não impõe isolamento de tenant em tabelas críticas (`models`, `messages`, `embeddings`), permitindo acesso não autorizado a dados entre tenants com privilégios de autenticação de nível de usuário. A causa raiz é uma incompatibilidade entre tabelas consultáveis e tabelas protegidas pelo isolamento de tenant. Especificamente, as tabelas `messages`, `embeddings` e `models` são consultáveis, mas não são protegidas pelo isolamento de tenant, o que significa que as consultas nessas tabelas não têm o filtro automático `WHERE tenant id = X` aplicado. Um atacante pode explorar isso criando consultas SQL por meio da ferramenta `database query` para acessar dados sensíveis de outros tenants. O código vulnerável está localizado em `internal/utils/inject.go` e `database query.go`. **Recomendações** Atualize para a versão 0.2.12 do WeKnora ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do PinchTab anteriores a 0.7.7 **Descrição** O PinchTab é um servidor HTTP autônomo projetado para fornecer a agentes de IA controle direto sobre um navegador Chrome. Uma condição de Server-Side Request Forgery (SSRF) existe no endpoint `/download`. Isso permite que um usuário com acesso à API force o servidor PinchTab a realizar solicitações a URLs arbitrárias, incluindo serviços internos da rede e arquivos locais do sistema, e então recuperar o conteúdo completo da resposta. A vulnerabilidade está localizada no manipulador `GET /download?url=<url>` dentro do arquivo `download.go`, especificamente na linha 78, onde o parâmetro `url` controlado pelo usuário é passado para `chromedp.Navigate(dlURL)` sem validação adequada. Isso permite acesso a arquivos locais usando o esquema `file://`, serviços internos e endpoints de metadados de nuvem. O servidor então retorna o corpo da resposta capturada ao atacante, permitindo a exfiltração de dados sensíveis. **Recomendações** Atualize o PinchTab para a versão 0.7.7 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores à 0.3.2 **Descrição** O WeKnora é um framework para compreensão profunda de documentos e recuperação semântica. Existe uma falha nos endpoints de gerenciamento de tenants que permite a usuários autenticados ler, modificar ou excluir qualquer tenant por ID. Como o registro de contas é aberto ao público, um atacante não autenticado pode registrar uma conta e explorar essa questão. Isso pode levar à tomada de controle de conta entre tenants e destruição. Os endpoints de API afetados são: - `/api/v1/tenants` - `/api/v1/tenants/{id}` A vulnerabilidade ocorre porque os manipuladores de gerenciamento de tenants não validam a propriedade ou privilégios entre tenants antes de executar ações. Os manipuladores usam diretamente o ID do tenant a partir do caminho sem verificações de autorização. A variável `id` no endpoint de API `/api/v1/tenants/{id}` é particularmente vulnerável. **Recomendações** Versões anteriores à 0.3.2 devem ser atualizadas para a versão 0.3.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores à 0.3.0 **Descrição** O WeKnora, um framework baseado em LLM para compreensão profunda de documentos e recuperação semântica, é suscetível a uma vulnerabilidade envolvendo colisão de nomes de ferramentas e injeção indireta de prompt. Um servidor MCP remoto malicioso pode sequestrar a execução de ferramentas explorando uma convenção de nomenclatura ambígua no cliente MCP (`mcp {service} {tool}`). Um atacante pode registrar uma ferramenta maliciosa que sobrescreve uma legítima, como `tavily extract`. Isso permite o redirecionamento do fluxo de execução do LLM, exfiltração de prompts do sistema e contexto, e a potencial execução de outras ferramentas com os privilégios do usuário. A vulnerabilidade origina-se da colisão de nomes de ferramentas no cliente e da saída de ferramentas/metadados não sanitizada. O cliente gera identificadores internos de ferramentas sanitizando e unindo o nome do serviço e o nome da ferramenta com sublinhados. O registro sobrescreve entradas existentes, permitindo que um serviço malicioso substitua implementações legítimas. O cliente alimenta descrições de ferramentas MCP e resultados de execução diretamente de volta ao contexto do LLM sem sanitização, permitindo que uma ferramenta maliciosa retorne instruções (Injeção de Prompt) que o LLM interpreta como comandos confiáveis. **Recomendações** Versões anteriores à 0.3.0 devem ser atualizadas para a versão 0.3.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeKnora anteriores à 0.2.12 **Descrição** O recurso "Importar documento via URL" do aplicativo é suscetível a Falsificação de Solicitação do Lado do Servidor (SSRF) através de redirecionamentos HTTP. Embora o backend implemente uma validação abrangente de URL, ele falha em validar os destinos do redirecionamento. Um atacante pode contornar as proteções usando uma cadeia de redirecionamento, forçando o servidor a acessar serviços internos. Endereços internos específicos do Docker, como `host.docker.internal`, não são bloqueados. O endpoint `/api/v1/knowledge-bases/{id}/knowledge/url` valida a URL inicial, mas segue redirecionamentos HTTP sem revalidar o destino. Isso permite que atacantes enviem uma URL para um domínio controlado pelo atacante, que responde com um redirecionamento 307 para um serviço interno, permitindo o acesso a serviços internos e potencial exposição de dados. A função `IsSSRFSafeURL()` valida a URL inicial, mas não valida os destinos de redirecionamento HTTP. **Recomendações** Versões anteriores à 0.2.12 devem ser atualizadas para a versão 0.2.12 ou posterior.