CVE-2024-1599

lunary-ai/lunary versão 0.3.0

O problema está relacionado à validação insuficiente no lado do servidor dos tipos de contas de usuário durante a criação de projetos, permitindo a criação não autorizada de projetos. Especificamente, no nível de conta gratuita, os usuários estão limitados a criar apenas dois projetos, mas essa restrição é aplicada apenas na interface do usuário da web, não no lado do servidor. Isso permite que os usuários contornem a limitação e criem um número ilimitado de projetos sem atualizar sua conta ou incorrer em cobranças adicionais. A vulnerabilidade se deve à falta de verificações no endpoint de criação de projetos.

Para a versão 0.3.0 do lunary-ai/lunary, considere desativar o endpoint de criação de projetos até que um patch esteja disponível para aplicar a validação do lado do servidor dos tipos de conta de usuário. Restrinja o acesso à funcionalidade de criação de projetos para minimizar o risco de exploração. Evite usar o plano de conta gratuita para projetos críticos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.