PT-2024-18263 · Unknown · Lunary-Ai/Lunary
Publicado
2024-04-15
·
Atualizado
2025-01-10
·
CVE-2024-1738
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
lunary-ai/lunary (versões afetadas não especificadas)
Descrição
Existe uma falha de autorização no repositório lunary-ai/lunary, especificamente na rota evaluations.get do endpoint da API de avaliações “/api/evaluations”. Essa falha permite que usuários não autorizados recuperem os resultados da avaliação de qualquer organização simplesmente conhecendo o
ID da avaliação, devido à falta de verificação do ID do projeto na consulta SQL. Como resultado, invasores podem obter acesso a dados potencialmente privados contidos nos resultados da avaliação.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lunary-Ai/Lunary