Informazioni sul CVE-2024-1740
Incorrect Authorization in lunary-ai/lunary
CWE ID: CWE-863
Base Score (CVSS): N/A
CVE: CVE-2024-1740
Descrizione: In versione 1.0.1 di lunary, esiste una vulnerabilità in cui un utente che è stato rimosso da un’organizzazione può ancora leggere, creare, modificare e cancellare i log tramite l’utilizzo di un vecchio token di autorizzazione. L’applicazione lunary web comunica con il server utilizzando un ‘Authorization’ token nel browser, il quale non viene invalidato correttamente quando l’utente viene rimosso dall’organizzazione. Questo consente all’utente rimosso di eseguire azioni non autorizzate sui log e di accedere ai dettagli del progetto e degli utenti esterni senza le autorizzazioni necessarie.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/c1a51f71-628e-4eb5-ac35-50bf64832cfd
- https://github.com/lunary-ai/lunary/commit/c57cd50fa0477fd2a2efe60810c0099eebd66f54
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-863
CVSS: 0.0