Vulnerabilidad en open-webui/open-webui (CVE-2024-8053)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

20/03/2025

Última modificación:

27/03/2025

Descripción

En la versión v0.3.10 de open-webui/open-webui, el endpoint `api/v1/utils/pdf` carece de mecanismos de autenticación, lo que permite a atacantes no autenticados acceder al servicio de generación de PDF. Esta vulnerabilidad puede explotarse enviando una solicitud POST con una carga excesiva, lo que podría provocar el agotamiento de los recursos del servidor y una denegación de servicio (DoS). Además, usuarios no autorizados pueden usar indebidamente el endpoint para generar PDF sin verificación, lo que resulta en un uso indebido del servicio y posibles impactos operativos y financieros.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto