Hughcrt

**Nome do software vulnerável e versões afetadas** lunary-ai/lunary versão v1.4.2 **Descrição** Existe uma vulnerabilidade de injeção de SQL na rota “/api/v1/external-users”. A cláusula `order by` da consulta SQL utiliza `sql.unsafe` sem sanitização prévia, permitindo a injeção de SQL. A variável `orderByClause` é construída sem validação ou sanitização do lado do servidor, permitindo que um invasor execute comandos SQL arbitrários. A exploração bem-sucedida pode levar à perda total, modificação ou corrupção dos dados. **Recomendações** Para a versão v1.4.2 do lunary-ai/lunary, como solução temporária, considere desativar a rota `/api/v1/external-users` até que um patch esteja disponível. Restrinja o acesso a essa rota para minimizar o risco de exploração. Evite usar a variável `orderByClause` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** lunary-ai/lunary versão 1.2.34 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) devido a configurações CORS excessivamente permissivas, permitindo que um invasor se cadastre e crie projetos ou utilize a instância como se fosse um usuário com acesso local. O principal vetor de ataque é para instâncias hospedadas localmente em máquinas pessoais, que não são acessíveis publicamente. As configurações CORS no backend permitem todas as origens, expondo pontos de extremidade não autenticados a ataques CSRF. **Recomendações** Para a versão 1.2.34 do lunary-ai/lunary, considere restringir as configurações CORS para permitir apenas as origens necessárias e implemente mecanismos adequados de proteção contra CSRF para impedir o acesso não autorizado. Como solução temporária, considere desativar endpoints não autenticados até que um patch esteja disponível. Restrinja o acesso à instância, especialmente para aquelas hospedadas localmente em máquinas pessoais, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** lunary-ai/lunary versão 1.2.5 **Descrição** Existe uma falha no controle de acesso devido à ausência de uma verificação de permissão no endpoint “GET /v1/users/me/org”. As definições de funções da plataforma restringem a função `Prompt Editor` ao gerenciamento de prompts e aos recursos de visualização/listagem de projetos, excluindo o acesso às informações do usuário. No entanto, o endpoint não aplica essa restrição, permitindo que usuários com a função `Prompt Editor` acessem a lista completa de usuários da organização. Esse problema permite o acesso não autorizado a informações confidenciais do usuário, violando os controles de acesso previstos. **Recomendações** Para a versão 1.2.5 do lunary-ai/lunary, como solução alternativa temporária, considere restringir o acesso ao endpoint “GET /v1/users/me/org” até que um patch esteja disponível. Além disso, revise e aplique as definições de funções para impedir o acesso não autorizado a informações confidenciais do usuário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** lunary-ai/lunary versão 1.0.1 **Descrição** Existe uma vulnerabilidade pela qual um usuário removido de uma organização ainda pode ler, criar, modificar e excluir registros reutilizando um token de autorização antigo. O aplicativo web lunary se comunica com o servidor usando um token de ‘Autorização’ no navegador, que não é invalidado corretamente após a remoção do usuário da organização. Isso permite que o usuário removido execute ações não autorizadas nos registros e acesse detalhes do projeto e de usuários externos sem permissões válidas. **Recomendações** Para a versão 1.0.1 do lunary-ai/lunary, considere implementar um mecanismo adequado de invalidação de tokens ao remover um usuário de uma organização, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso a logs confidenciais e detalhes do projeto para usuários removidos até que um patch esteja disponível.