Référence directe à un objet non sécurisée (IDOR) dans parisneo/lollms

Une vulnérabilité de sécurité CRITICAL dans parisneo/lollms versions jusqu'à 2.2.0 permet à tout utilisateur authentifié d'accepter ou de refuser des demandes d'amis appartenant à d'autres utilisateurs. La fonction `respond_request()` dans `backend/routers/friends.py` n'implémente pas les contrôles d'autorisation appropriés, ce qui permet des attaques de Référence directe à un objet non sécurisée (IDOR). Plus précisément, le point de terminaison `/api/friends/requests/{friendship_id}` ne parvient pas à vérifier si l'utilisateur authentifié fait partie de l'amitié ou est le destinataire prévu de la demande. Cette vulnérabilité peut entraîner un accès non autorisé, des violations de la vie privée et des attaques potentielles d'ingénierie sociale. Le problème a été résolu dans la version 2.2.0.