CVE-2026-30857

Nome do Software Vulnerável e Versões Afetadas Versões do WeKnora anteriores a 0.3.0

Descrição O WeKnora é um framework para compreensão profunda de documentos e recuperação semântica. Existe uma falha de bypass de autorização entre tenants no endpoint de cópia da base de conhecimento. Um usuário autenticado pode clonar a base de conhecimento de outro tenant para o próprio tenant ao conhecer ou adivinhar o ID da base de conhecimento de origem, resultando em exfiltração em massa de dados. O problema ocorre devido a verificações insuficientes de controle de acesso ao manipular o parâmetro source id no endpoint POST /api/v1/knowledge-bases/copy. Especificamente, a função GetKnowledgeBaseByID na camada de repositório não impõe isolamento de tenant, permitindo acesso a bases de conhecimento de outros tenants. O código vulnerável copia a configuração e o conteúdo da base de conhecimento de origem para uma nova base de conhecimento no tenant do atacante. O parâmetro source id, fornecido pelo atacante, é utilizado sem validação adequada.

Recomendações As versões anteriores a 0.3.0 devem ser atualizadas para a versão 0.3.0 ou posterior para resolver este problema.