CVE-2024-9612

Nome do Software Vulnerável e Versões Afetadas danswer-ai/danswer versão 0.3.94

Descrição A falha permite que atacantes contornem a restrição de visibilidade definida pelos administradores para a página de pesquisa. Quando a página de pesquisa é configurada como invisível, usuários comuns não podem visualizá-la ou acessar suas funcionalidades a partir da interface de front-end. No entanto, o back-end não verifica o status de visibilidade da página de pesquisa, permitindo que atacantes chamem diretamente a API para acessar as funcionalidades da página de pesquisa.

Recomendações Para a versão 0.3.94, considere restringir o acesso aos endpoints da API relacionados à página de pesquisa até que um patch esteja disponível. Como solução paliativa temporária, os administradores também podem limitar a funcionalidade da página de pesquisa para minimizar o risco de exploração.