CVE-2024-5248

lunary-ai/lunary versão 1.2.5

Existe uma falha no controle de acesso devido à ausência de uma verificação de permissão no endpoint “GET /v1/users/me/org”. As definições de funções da plataforma restringem a função Prompt Editor ao gerenciamento de prompts e aos recursos de visualização/listagem de projetos, excluindo o acesso às informações do usuário. No entanto, o endpoint não aplica essa restrição, permitindo que usuários com a função Prompt Editor acessem a lista completa de usuários da organização. Esse problema permite o acesso não autorizado a informações confidenciais do usuário, violando os controles de acesso previstos.

Para a versão 1.2.5 do lunary-ai/lunary, como solução alternativa temporária, considere restringir o acesso ao endpoint “GET /v1/users/me/org” até que um patch esteja disponível. Além disso, revise e aplique as definições de funções para impedir o acesso não autorizado a informações confidenciais do usuário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.