CVE-2024-9099

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versão v1.4.29

Descrição O endpoint da API GET "/projects" expõe chaves de API públicas e privadas de todos os projetos para usuários com permissões mínimas, como Visualizadores ou Editores de Prompt. Este problema permite que usuários não autorizados recuperem credenciais sensíveis, que podem ser usadas para realizar ações em nome do projeto, acessar dados privados e excluir recursos. As chaves de API privadas são expostas nas ferramentas do desenvolvedor quando o endpoint é chamado a partir do frontend.

Recomendações Para a versão v1.4.29, considere restringir o acesso ao endpoint da API GET "/projects" para impedir que usuários não autorizados recuperem credenciais sensíveis. Como solução temporária, restrinja o uso das ferramentas do desenvolvedor para minimizar o risco de exploração. Evite usar o endpoint da API a partir do frontend até que o problema seja resolvido.