CVE-2024-12580

Nome do Software Vulnerável e Versões Afetadas danny-avila/librechat versões anteriores à 0.7.6

Descrição Uma vulnerabilidade no software permite a injeção de logs de debug. Os parâmetros sessionId, fileId, userId e file id nos endpoints da API "/code/download/:sessionId/:fileId" e "/download/:userId/:file id" não são validados ou filtrados, levando a potenciais ataques de injeção de log. Isso pode causar distorção das informações de monitoramento e investigação, evadir a detecção por sistemas de segurança e criar dificuldades na manutenção e operação.

Recomendações Para versões anteriores à 0.7.6, atualize para a versão 0.7.6 ou posterior para resolver o problema. Como solução paliativa temporária, considere validar e filtrar os parâmetros sessionId, fileId, userId e file id nos endpoints da API afetados para prevenir ataques de injeção de log.