CVE-2024-11042

Nome do Software Vulnerável e Versões Afetadas invoke-ai/invokeai versão v5.0.2

Descrição A API web POST /api/v1/images/delete é vulnerável a Exclusão Arbitrária de Arquivos, permitindo que atacantes não autorizados excluam arquivos arbitrários no servidor. Isso pode incluir arquivos de sistema críticos ou sensíveis, como chaves SSH, bancos de dados SQLite e arquivos de configuração, impactando potencialmente a integridade e a disponibilidade de aplicações que dependem desses arquivos.

Recomendações Para invoke-ai/invokeai versão v5.0.2, considere desativar o endpoint da API POST /api/v1/images/delete até que uma correção esteja disponível para prevenir a exclusão não autorizada de arquivos. Restrinja o acesso a arquivos de sistema sensíveis para minimizar o risco de exploração.