CVE-2024-7045

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão v0.3.8

Descrição O problema está relacionado a um controle de acesso inadequado, permitindo que um atacante visualize quaisquer prompts sem verificar se ele é um administrador. Isso permite que o atacante chame diretamente a interface "/api/v1/prompts/" para recuperar todas as informações de prompts criadas pelo administrador, incluindo valores de ID. O atacante pode então explorar a interface "/api/v1/prompts/command/{command id}" para obter informações arbitrárias de prompts.

Recomendações Para a versão v0.3.8, considere restringir o acesso às interfaces "/api/v1/prompts/" e "/api/v1/prompts/command/{command id}" até que um mecanismo de controle de acesso adequado seja implementado para verificar privilégios de administrador. Como medida temporária, limite a exposição das informações de prompts implementando medidas de segurança adicionais para prevenir acesso não autorizado.