CVE-2024-9000

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versões anteriores à 1.4.26

Descrição O problema refere-se à falta de controle de acesso no endpoint checklists.post(), permitindo que usuários criem ou modifiquem checklists sem as devidas verificações de permissão. Isso possibilita que usuários não autorizados criem checklists, contornando as permissões pretendidas. Além disso, o endpoint não valida a unicidade do campo slug ao criar um novo checklist, permitindo que um atacante falsifique checklists existentes ao reutilizar o slug de um checklist já existente. Isso pode levar a problemas significativos de integridade de dados, já que checklists legítimos podem ser substituídos por dados maliciosos ou alterados.

Recomendações Para versões anteriores à 1.4.26, atualize para a versão 1.4.26 ou posterior para resolver o problema. Como solução temporária, considere desativar o endpoint checklists.post() até que um patch esteja disponível. Restrinja o acesso ao endpoint checklists.post() para minimizar o risco de exploração. Evite usar o campo slug no endpoint afetado até que o problema seja resolvido.