CVE-2024-8065

Nome do Software Vulnerável e Versões Afetadas danswer-ai/danswer versão v1.4.1

Descrição Uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF) permite que atacantes realizem ações não autorizadas no contexto do navegador da vítima, incluindo conectar a aplicação da vítima a um Bot malicioso do Slack, convidar usuários e excluir conversas. A aplicação não possui proteção CSRF, tornando-a suscetível a esses ataques.

Recomendações Para a versão v1.4.1, considere implementar mecanismos de proteção CSRF para prevenir ações não autorizadas. Como contorno temporário, restrinja o acesso a funcionalidades sensíveis da aplicação para minimizar o risco de exploração.