CVE-2024-11300
Improper Access Control in lunary-ai/lunary
Em resumo
Um usuário conseguia visualizar dados privados de prompts de outro usuário acessando URLs específicas no aplicativo Lunary. Isso é grave porque expõe informações sensíveis que deveriam ser confidenciais.
Detalhe técnico
Controle de acesso inadequado no Lunary anterior à versão 1.6.3 permite escalação de privilégio horizontal através de manipulação de URLs para recuperar dados de prompts de outros usuários. A vulnerabilidade requer autenticação, mas sem pré-condições adicionais; o impacto inclui divulgação não autorizada de informações confidenciais de prompts.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In lunary-ai/lunary before version 1.6.3, an improper access control vulnerability exists where a user can access prompt data of another user. This issue affects version 1.6.2 and the main branch. The vulnerability allows unauthorized users to view sensitive prompt data by accessing specific URLs, leading to potential exposure of critical information.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
lunary-ai · lunary-ai/lunaryQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →