CVE-2024-8143

Nome do software vulnerável e versões afetadas:

gaizhenbiao/chuanhuchatgpt versão 20240628

Descrição:

A vulnerabilidade existe no endpoint “/file”, permitindo que usuários autenticados acessem o histórico de bate-papo de outros usuários. Quando um usuário faz login, é criado um diretório na pasta de histórico com o nome do usuário. Ao manipular o endpoint “/file”, um usuário autenticado pode enumerar e acessar arquivos nos diretórios de outros usuários, levando ao acesso não autorizado a históricos de bate-papo privados. Isso pode ser explorado para ler o histórico de bate-papo privado de qualquer usuário.

Recomendações:

Para a versão 20240628, como solução temporária, considere restringir o acesso ao endpoint “/file” até que uma correção esteja disponível. Além disso, evite usar o endpoint “/file” para acessar ou manipular diretórios de usuários até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.