WeKnora — это платформа на базе LLM, предназначенная для глубокого понимания документов и семантического поиска. До версии 0.2.12 уязвимость контроля доступа в инструменте запросов к базе данных позволяла любому прошедшему проверку подлинности клиенту читать конфиденциальные данные, принадлежащие другим арендаторам, включая ключи API, конфигурации моделей и личные сообщения. Приложению не удается обеспечить изоляцию клиентов в критических таблицах (моделях, сообщениях, внедрениях), что обеспечивает несанкционированный доступ к данным между арендаторами с привилегиями проверки подлинности на уровне пользователя.
Эта проблема исправлена в версии 0.2.12.
Показать оригинальное описание (EN)
WeKnora is an LLM-powered framework designed for deep document understanding and semantic retrieval. Prior to version 0.2.12, a broken access control vulnerability in the database query tool allows any authenticated tenant to read sensitive data belonging to other tenants, including API keys, model configurations, and private messages. The application fails to enforce tenant isolation on critical tables (models, messages, embeddings), enabling unauthorized cross-tenant data access with user-level authentication privileges. This issue has been patched in version 0.2.12.
Характеристики атаки
Последствия
Строка CVSS v3.1