CVE-2024-7806

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versões <= 0.3.8

Descrição Uma vulnerabilidade permite a execução remota de código por usuários não administradores através de Falsificação de Solicitação Entre Sites (CSRF). A aplicação utiliza cookies com o atributo SameSite definido como lax para autenticação e não possui tokens CSRF. Isso permite que um atacante crie um HTML malicioso que, quando acessado por uma vítima, pode modificar o código Python de um pipeline existente e executar código arbitrário com os privilégios da vítima.

Recomendações Para open-webui/open-webui versões <= 0.3.8, atualize para uma versão superior a 0.3.8 para resolver o problema. Como solução temporária, considere implementar tokens CSRF e restringir o acesso a funcionalidades sensíveis para minimizar o risco de exploração.