CVE-2024-11821

Nome do Software Vulnerável e Versões Afetadas langgenius/dify versão 0.9.1

Descrição Existe uma vulnerabilidade de escalonamento de privilégios que permite a um usuário comum modificar as instruções de Orchestrate de um chatbot criado por um usuário administrador. O problema ocorre porque a aplicação não impõe corretamente os controles de acesso no endpoint "/console/api/apps/{chatbot-id}/model-config", permitindo que usuários não autorizados alterem configurações do chatbot.

Recomendações Para a versão 0.9.1, considere restringir o acesso ao endpoint "/console/api/apps/{chatbot-id}/model-config" até que um patch esteja disponível. Como solução temporária, limite a capacidade de usuários comuns de modificar as instruções de Orchestrate para chatbots criados por usuários administradores.