CVE-2025-53358

Nome do Software Vulnerável e Versões Afetadas: versões do kotaemon 0.10.6 e anteriores

Descrição: O problema refere-se a uma ferramenta de código aberto baseada em RAG para compreensão de documentos. Nas versões afetadas, o método index fn em libs/ktem/ktem/index/file/ui.py aceita tanto URLs quanto caminhos de arquivos locais sem validação, permitindo que atacantes atravessem diretórios e exfiltrem arquivos sensíveis. Por exemplo, um atacante poderia usar ../../../../../.env para acessar informações sensíveis.

Recomendações: Para as versões 0.10.6 e anteriores, atualize para a versão 0.10.7 ou posterior, que inclui a correção para este problema via commit 37cdc28. Como solução alternativa temporária, considere desativar o método index fn em libs/ktem/ktem/index/file/ui.py até que uma correção esteja disponível. Restrinja o acesso a arquivos e diretórios sensíveis para minimizar o risco de exploração.