CVE-2024-7035

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão v0.3.8

Descrição A falha permite que um atacante execute ataques de Falsificação de Solicitação Entre Sites (CSRF). Isso pode ocorrer quando um usuário desprevenido visita um site malicioso ou através de navegação de nível superior, fazendo com que ele execute inadvertidamente ações sensíveis. Os endpoints afetados incluem "/rag/api/v1/reset", "/rag/api/v1/reset/db", "/api/v1/memories/reset" e "/rag/api/v1/reset/uploads". Isso impacta tanto a disponibilidade quanto a integridade da aplicação.

Recomendações Para a versão v0.3.8, considere desabilitar ou restringir o acesso aos endpoints sensíveis "/rag/api/v1/reset", "/rag/api/v1/reset/db", "/api/v1/memories/reset" e "/rag/api/v1/reset/uploads" até que uma correção esteja disponível. Evite usar o método GET para ações sensíveis, como exclusão e redefinição. Como solução alternativa temporária, restrinja o uso de ações sensíveis aos métodos POST ou outros métodos mais seguros para minimizar o risco de exploração.