CVE-2024-9840

Nome do Software Vulnerável e Versões Afetadas open-webui/open-webui versão 0.3.21

Descrição Existe uma vulnerabilidade de Negação de Serviço (DoS) que afeta múltiplos endpoints, incluindo "/ollama/models/upload", "/audio/api/v1/transcriptions" e "/rag/api/v1/doc". A aplicação processa boundaries multipart sem autenticação, levando ao esgotamento de recursos. Ao anexar caracteres adicionais ao boundary multipart, um atacante pode fazer com que o servidor processe cada byte do boundary, resultando finalmente na indisponibilidade do serviço. Esta vulnerabilidade pode ser explorada remotamente, resultando em alto uso de CPU e memória, tornando o serviço inacessível para usuários legítimos.

Recomendações Para o open-webui/open-webui versão 0.3.21, considere implementar autenticação para o processamento de boundaries multipart para prevenir acesso não autorizado e esgotamento de recursos. Como solução temporária, restrinja o acesso aos endpoints afetados para minimizar o risco de exploração.