Alexanderbarabanov

**Nome do Software Vulnerável e Versões Afetadas** Versões do RAGFlow <= 0.13.0 **Descrição** O RAGFlow é um mecanismo RAG (Retrieval-Augmented Generation) de código aberto baseado em compreensão profunda de documentos. Um usuário autenticado pode explorar a vulnerabilidade de Referência Direta a Objeto Inseguro (IDOR), o que pode levar ao acesso não autorizado entre tenants. Isso pode resultar na listagem de contas de usuário de um tenant e na adição de contas de usuário em outros tenants. O problema pode ser explorado via endpoints de API como "GET /<tenant id>/user/list" e "POST /<tenant id>/user". **Recomendações** Para as versões do RAGFlow <= 0.13.0, recomenda-se que os usuários entrem em contato com os mantenedores do projeto para coordenar uma correção, uma vez que esta questão ainda não foi corrigida. Como medida temporária, considere restringir o acesso aos endpoints de API vulneráveis, como "GET /<tenant id>/user/list" e "POST /<tenant id>/user", para minimizar o risco de exploração.