CVE-2024-10906

Nome do Software Vulnerável e Versões Afetadas eosphoros-ai/db-gpt versão 0.6.0

Descrição O problema origina-se de uma instância excessivamente permissiva de CORSMiddleware na aplicação uvicorn criada por dbgpt server, que define o Access-Control-Allow-Origin como * para todas as requisições. Esta configuração torna todos os endpoints expostos pelo servidor vulneráveis a Falsificação de Solicitação Entre Sites (CSRF). Um atacante pode explorar isso para interagir com qualquer endpoint da instância, mesmo que a instância não esteja exposta publicamente à rede.

Recomendações Para a versão 0.6.0, considere restringir o cabeçalho Access-Control-Allow-Origin para permitir apenas requisições de origens confiáveis como uma solução temporária. Restrinja o acesso a endpoints sensíveis para minimizar o risco de exploração. Evite usar a instância excessivamente permissiva do CORSMiddleware até que um patch esteja disponível.