R0Path

**Nome do software vulnerável e versões afetadas** Versões do Khoj anteriores à 1.29.10 **Descrição** O problema está relacionado a uma vulnerabilidade de referência direta a objetos (IDOR) no endpoint `update subscription`, permitindo que qualquer usuário autenticado manipule as assinaturas Stripe de outros usuários ao modificar o parâmetro `email` na solicitação. A vulnerabilidade existe no endpoint de assinatura em “/api/subscription”, que usa um parâmetro `email` como referência direta às assinaturas do usuário sem verificar a propriedade do objeto. Embora a autenticação seja necessária, não há verificação de autorização para confirmar se o usuário autenticado é o proprietário da assinatura referenciada. **Recomendações** Para versões anteriores à 1.29.10, atualize para a versão 1.29.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `/api/subscription` para impedir modificações não autorizadas nas assinaturas. Além disso, evite usar o parâmetro `email` no endpoint da API afetado até que o problema seja resolvido.