Informazioni sul CVE-2024-11301
Improper Enforcement of Unique Constraint in lunary-ai/lunary
CWE ID: CWE-837
Base Score (CVSS): N/A
CVE: CVE-2024-11301
Descrizione: In lunary-ai/lunary prima della versione 1.6.3, l’applicazione consente la creazione di valutatori senza imporre un vincolo unico sulla combinazione di projectId e slug. Questo permette a un attaccante di sovrascrivere i dati esistenti inviando una richiesta POST con lo stesso slug di un valutatore esistente. L’assenza di vincoli di database o validazione applicativa per prevenire duplicati esegue l’applicazione a rischio di problemi di integrità dei dati. Questa vulnerabilità può causare dati corrotti e potenziali azioni dannose, compromettendo la funzionalità del sistema.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/3d99aca5-b135-4833-b48b-7806bc4bf861
- https://github.com/lunary-ai/lunary/commit/79dc370596d979b756f6ea0250d97a2d02385ecd
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-837
CVSS: 0.0