Phv2312

Nome do Software Vulnerável e Versões Afetadas: versões do kotaemon 0.10.6 e anteriores Descrição: O problema refere-se a uma ferramenta de código aberto baseada em RAG para compreensão de documentos. Nas versões afetadas, o método `index fn` em `libs/ktem/ktem/index/file/ui.py` aceita tanto URLs quanto caminhos de arquivos locais sem validação, permitindo que atacantes atravessem diretórios e exfiltrem arquivos sensíveis. Por exemplo, um atacante poderia usar `../../../../../.env` para acessar informações sensíveis. Recomendações: Para as versões 0.10.6 e anteriores, atualize para a versão 0.10.7 ou posterior, que inclui a correção para este problema via commit 37cdc28. Como solução alternativa temporária, considere desativar o método `index fn` em `libs/ktem/ktem/index/file/ui.py` até que uma correção esteja disponível. Restrinja o acesso a arquivos e diretórios sensíveis para minimizar o risco de exploração.