CVE-2024-56516

Versões do free-one-api até a 1.0.1, inclusive

O problema diz respeito ao uso do MD5, um algoritmo de hash criptograficamente comprometido, para hashar senhas antes de enviá-las ao backend. Isso torna o sistema vulnerável a ataques de colisão e pode ser facilmente quebrado usando hardware moderno, expondo as credenciais do usuário a um potencial comprometimento. O free-one-api permite que os usuários acessem bibliotecas de engenharia reversa de modelos de linguagem de grande porte por meio do formato padrão da API da OpenAI.

Para versões até e incluindo a 1.0.1, considere desativar o hash de senhas usando MD5 até que uma substituição segura seja implementada.

Como solução temporária, restrinja o acesso a áreas sensíveis do aplicativo para minimizar o risco de exploração.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.