CVE-2024-4153

lunary-ai/lunary versão 1.2.2

Uma vulnerabilidade permite que invasores contornem os limites de criação de usuários e, potencialmente, evitem os requisitos de pagamento. O problema decorre de um comportamento indefinido ao processar entradas na API, especificamente por meio de uma solicitação POST para o endpoint “/v1/users”. Ao criar uma solicitação com o e-mail de um novo usuário e atribuir a ele a função admin, invasores podem convidar usuários adicionais além do limite definido. Isso poderia ser explorado para adicionar um número ilimitado de usuários sem respeitar as restrições pretendidas.

Para a versão 1.2.2, considere desativar a capacidade de atribuir a função admin a novos usuários até que uma correção esteja disponível. Restrinja o acesso ao endpoint “/v1/users” para minimizar o risco de exploração. Evite usar o parâmetro role no endpoint da API afetado até que o problema seja resolvido.