CVE-2024-8026

Nome do Software Vulnerável e Versões Afetadas netease-youdao/qanything (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na API de backend devido a cabeçalhos CORS excessivamente permissivos, permitindo todas as requisições cross-origin. Isso afeta todos os endpoints de backend, possibilitando ações como criar, fazer upload, listar, excluir arquivos e gerenciar bases de conhecimento.

Recomendações Como medida temporária, considere restringir o acesso aos endpoints da API de backend até que uma correção esteja disponível. Restrinja as requisições cross-origin configurando os cabeçalhos CORS para permitir apenas os domínios necessários. Evite usar a API de backend para operações sensíveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.