Zhihuang Liu

**Nome do Software Vulnerável e Versões Afetadas** AnythingLLM versão 1.8.5 **Descrição** Um bypass de autenticação permite que atacantes remotos não autenticados enumerem e recuperem informações detalhadas sobre todos os workspaces configurados. O problema ocorre devido à falta de verificações de autenticação no endpoint `/api/workspaces`. Os dados expostos incluem identificadores do workspace (`id`, `name`, `slug`), configurações do modelo de IA (`chatProvider`, `chatModel`, `agentProvider`), prompts do sistema (`openAiPrompt`), parâmetros operacionais (`temperature`, `history length`, `similarity thresholds`), configurações de busca vetorial, modos de chat e timestamps. **Recomendações** Aplique verificações de autenticação ao endpoint `/api/workspaces` para prevenir acesso não autorizado aos detalhes de configuração do workspace.