Open WebUI - это самостоячная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.0 POST …
Open WebUI - это самостоячная платформа искусственного интеллекта, предназначенная для работы полностью в автономном режиме. До 0.9.0 POST /api/v1/models/import endpoint позволяет пользователям с разрешением workspace.models_import перезаписать любую существующую модель в базе данных, независимо от владения. Когда идентификатор импортируемой модели соответствует существующей модели, конечная точка сливается с полезной нагрузкой злоумышленника по сравнению с существующими данными модели и записывает ее в базу данных без подтверждения права собственности или доступа. Кроме того, filter_alowed_access_grants никогда не называется, минуя ограничения на предоставление доступа, введенные на всех других конечных точках мутаций модели. Эта уязвимость фиксируется в 0.9.0.
Продукт не проверяет должным образом, что критически важный ресурс принадлежит надлежащему субъекту.
https://cwe.mitre.org/data/definitions/283.html →Открыть в коллекции CWE →