CVE-2024-9096

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versão 1.4.28

Descrição A vulnerabilidade permite que usuários com privilégios limitados modifiquem checklists ao enviar uma requisição PATCH para a rota /checklists/:id devido à falta de controle de acesso adequado. Isso permite que qualquer usuário associado ao projeto modifique checklists, incluindo a alteração do slug ou campos de dados, o que pode levar à manipulação de fluxos de trabalho essenciais do projeto, alteração da lógica de negócios e introdução de erros que comprometem a integridade.

Recomendações Para a versão 1.4.28, considere implementar middleware de controle de acesso adequado para garantir que apenas usuários autorizados, como proprietários do projeto ou administradores, possam modificar dados de checklists. Como solução temporária, restrinja o acesso à rota /checklists/:id para minimizar o risco de exploração.