CVE-2024-8053

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão v0.3.10

Descrição O endpoint api/v1/utils/pdf não possui mecanismos de autenticação, permitindo que atacantes não autenticados acessem o serviço de geração de PDF. Este problema pode ser explorado enviando uma requisição POST com um payload excessivamente grande, potencialmente levando ao esgotamento dos recursos do servidor e negação de serviço (DoS). Além disso, usuários não autorizados podem fazer uso indevido do endpoint para gerar PDFs sem verificação, resultando em uso indevido do serviço e potenciais impactos operacionais e financeiros.

Recomendações Para a versão v0.3.10, considere implementar mecanismos de autenticação para o endpoint api/v1/utils/pdf para prevenir acesso não autorizado. Como medida temporária, restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite utilizar o endpoint para gerar PDFs sem a devida verificação até que uma correção esteja disponível.