WeKnora — это платформа на базе LLM, предназначенная для глубокого понимания документов и семантического поиска. До версии 0.3.2 обход авторизации в конечных точках управления арендаторами приложения WeKnora позволял любому аутентифицированному пользователю читать, изменять или удалять любого арендатора по идентификатору. Поскольку регистрация учетной записи открыта для всех, эта уязвимость позволяет любому неаутентифицированному злоумышленнику зарегистрировать учетную запись и впоследствии использовать систему.
Это позволяет захватывать и уничтожать учетные записи между арендаторами, что делает последствия критическими. Эта проблема исправлена в версии 0.3.2.
Показать оригинальное описание (EN)
WeKnora is an LLM-powered framework designed for deep document understanding and semantic retrieval. Prior to version 0.3.2, an authorization bypass in tenant management endpoints of WeKnora application allows any authenticated user to read, modify, or delete any tenant by ID. Since account registration is open to the public, this vulnerability allows any unauthenticated attacker to register an account and subsequently exploit the system. This enables cross-tenant account takeover and destruction, making the impact critical. This issue has been patched in version 0.3.2.
Характеристики атаки
Последствия
Строка CVSS v3.1