CVE-2024-52294

Versões do Khoj anteriores à 1.29.10

O problema está relacionado a uma vulnerabilidade de referência direta a objetos (IDOR) no endpoint update subscription, permitindo que qualquer usuário autenticado manipule as assinaturas Stripe de outros usuários ao modificar o parâmetro email na solicitação. A vulnerabilidade existe no endpoint de assinatura em “/api/subscription”, que usa um parâmetro email como referência direta às assinaturas do usuário sem verificar a propriedade do objeto. Embora a autenticação seja necessária, não há verificação de autorização para confirmar se o usuário autenticado é o proprietário da assinatura referenciada.

Para versões anteriores à 1.29.10, atualize para a versão 1.29.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint /api/subscription para impedir modificações não autorizadas nas assinaturas. Além disso, evite usar o parâmetro email no endpoint da API afetado até que o problema seja resolvido.