Odysseus: giriş yapmış herhangi bir kullanıcı sunucu genelindeki embedding endpoint’ini ele geçirebiliyor (broken access control + SSRF)

Odysseus'taki POST /api/embeddings/endpoint sadece auth ile korunuyor, admin kontrolü yok. Admin olmayan herhangi bir kullanıcı sunucu genelindeki embedding URL'sini saldırgan kontrolündeki bir hosta yönlendirip tüm kullanıcıların chat, RAG, memory ve vault metnini düz metin olarak dışarı çıkarabiliyor. Aynı handler URL doğrulaması da yapmıyor, yani SSRF de var.