CVE-2024-7044

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão 0.3.8

Descrição Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado na funcionalidade de upload de arquivos do chat. Um atacante pode injetar conteúdo malicioso em um arquivo que, quando acessado por uma vítima através de uma URL ou chat compartilhado, executa JavaScript no navegador da vítima. Isso pode levar ao roubo de dados do usuário, sequestro de sessão, distribuição de malware e ataques de phishing.

Recomendações Para open-webui/open-webui versão 0.3.8, considere desativar a funcionalidade de upload de arquivos no chat até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso aos arquivos carregados para minimizar o risco de execução de conteúdo malicioso.