CVE-2025-63390

Nome do Software Vulnerável e Versões Afetadas AnythingLLM versão 1.8.5

Descrição Um bypass de autenticação permite que atacantes remotos não autenticados enumerem e recuperem informações detalhadas sobre todos os workspaces configurados. O problema ocorre devido à falta de verificações de autenticação no endpoint /api/workspaces. Os dados expostos incluem identificadores do workspace (id, name, slug), configurações do modelo de IA (chatProvider, chatModel, agentProvider), prompts do sistema (openAiPrompt), parâmetros operacionais (temperature, history length, similarity thresholds), configurações de busca vetorial, modos de chat e timestamps.

Recomendações Aplique verificações de autenticação ao endpoint /api/workspaces para prevenir acesso não autorizado aos detalhes de configuração do workspace.