CVE-2024-7046

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão 0.3.8

Descrição O problema está relacionado a um controle de acesso inadequado, permitindo que um atacante visualize detalhes do administrador sem verificar se o atacante é um administrador. Isso pode ser explorado chamando diretamente o endpoint "/api/v1/auths/admin/details" para recuperar os detalhes do primeiro administrador (proprietário).

Recomendações Para open-webui/open-webui versão 0.3.8, considere restringir o acesso ao endpoint "/api/v1/auths/admin/details" até que um patch esteja disponível. Como medida temporária, garanta que apenas administradores autorizados possam acessar os detalhes do administrador implementando mecanismos adequados de controle de acesso.