CVE-2024-11300
Improper Access Control in lunary-ai/lunary
En resumen
Un usuario podía ver datos privados de prompts de otro usuario accediendo a URLs específicas en la aplicación Lunary. Esto es grave porque expone información sensible que debería mantenerse confidencial.
Detalle técnico
Control de acceso inadecuado en Lunary anterior a versión 1.6.3 permite escalada de privilegios horizontal mediante manipulación de URLs para recuperar datos de prompts de otros usuarios. La vulnerabilidad requiere autenticación pero sin pre-condiciones adicionales; el impacto incluye divulgación no autorizada de información confidencial de prompts.
Resumen generado y traducido por IA a partir de la descripción oficial.
In lunary-ai/lunary before version 1.6.3, an improper access control vulnerability exists where a user can access prompt data of another user. This issue affects version 1.6.2 and the main branch. The vulnerability allows unauthorized users to view sensitive prompt data by accessing specific URLs, leading to potential exposure of critical information.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
lunary-ai · lunary-ai/lunary¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →