CVE-2024-8057

Nome do Software Vulnerável e Versões Afetadas danswer-ai/danswer versão 0.4.1

Descrição Existe uma vulnerabilidade na qual um usuário básico pode criar credenciais e vinculá-las a um conector existente. Este problema surge porque o sistema permite que um atacante não autenticado se cadastre com uma conta básica e execute ações que deveriam ser restritas a usuários administradores. Isso pode levar ao consumo excessivo de recursos, potencialmente resultando em uma Negação de Serviço (DoS) e outros problemas significativos, impactando a estabilidade e a segurança do sistema.

Recomendações Para a versão 0.4.1, considere restringir a capacidade de usuários básicos de criar credenciais e vinculá-las a conectores existentes para prevenir o consumo excessivo de recursos e potenciais ataques de Negação de Serviço (DoS). Como solução temporária, restrinja o acesso à funcionalidade de vinculação de conectores para usuários básicos até que uma correção esteja disponível.