WeKnora — это платформа на базе LLM, предназначенная для глубокого понимания документов и семантического поиска. До версии 0.3.0 обход межклиентской авторизации в конечной точке копирования базы знаний позволял любому пользователю, прошедшему проверку подлинности, клонировать (дублировать) базу знаний другого клиента в свой собственный клиент, зная/угадывая идентификатор исходной базы знаний. Это обеспечивает массовую фильтрацию данных (документов и часто задаваемых вопросов) между арендаторами.
Эта проблема исправлена в версии 0.3.0.
Показать оригинальное описание (EN)
WeKnora is an LLM-powered framework designed for deep document understanding and semantic retrieval. Prior to version 0.3.0, a cross-tenant authorization bypass in the knowledge base copy endpoint allows any authenticated user to clone (duplicate) another tenant’s knowledge base into their own tenant by knowing/guessing the source knowledge base ID. This enables bulk data exfiltration (document/FAQ content) across tenants. This issue has been patched in version 0.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1