CVE-2024-9617

Nome do Software Vulnerável e Versões Afetadas danswer-ai/danswer versão 0.3.94

Descrição A falha permite que um atacante visualize quaisquer arquivos devido à falta de verificação de se o atacante é o criador do arquivo. Isso pode ser explorado ao chamar diretamente a interface GET /api/chat/file/{file id} para visualizar o arquivo de qualquer usuário. A variável file id é usada neste processo.

Recomendações Para danswer-ai/danswer versão 0.3.94, considere restringir o acesso à interface GET /api/chat/file/{file id} até que um patch esteja disponível, ou implementar um mecanismo de verificação para garantir que apenas o criador do arquivo possa acessá-lo.