Informazioni sul CVE-2024-10275
Improper Role Modification by Admins for Billing Permissions in lunary-ai/lunary
CWE ID: CWE-284
Base Score (CVSS): N/A
CVE: CVE-2024-10275
Descrizione: In versione 1.5.5 di lunary-ai/lunary, esiste una vulnerabilità in cui amministratori, che non hanno accesso diretto alle risorse di fatturazione, possono modificare i permessi esistenti di utenti per includere le autorizzazioni di fatturazione. Questo può portare a uno scenario di escalation dei privilegi in cui un amministratore può gestire la fatturazione, bypassando il controllo di accesso basato sui ruoli inteso. Solo gli utenti con il ruolo ‘amministratore’ devono essere autorizzati ad invitare membri con permessi di fatturazione. Questo difetto consente agli amministratori di aggirare tali restrizioni, ottenendo un accesso e un controllo non autorizzati sulle informazioni finanziarie, rappresentando un rischio per le risorse finanziarie dell’organizzazione.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/863ee34b-c4c6-4325-bf7a-82a7feebf88f
- https://github.com/lunary-ai/lunary/commit/8ba1b8ba2c2c30b1cec30eb5777c1fda670cbbfc
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-284
CVSS: 0.0