Informazioni sul CVE-2024-6862
Cross-Site Request Forgery (CSRF) in lunary-ai/lunary
CWE ID: CWE-352
Base Score (CVSS): N/A
CVE: CVE-2024-6862
Descrizione: A Cross-Site Request Forgery (CSRF) vulnerability exists in lunary-ai/lunary version 1.2.34 due to overly permissive CORS settings. This vulnerability allows an attacker to sign up for and create projects or use the instance as if they were a user with local access. The main attack vector is for instances hosted locally on personal machines, which are not publicly accessible. The CORS settings in the backend permit all origins, exposing unauthenticated endpoints to CSRF attacks.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/0b1d851e-3455-480c-ad5a-23565894976f
- https://github.com/lunary-ai/lunary/commit/3451fcd7b9d95e9091d62c515752f39f2faa6e54
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-352
CVSS: 0.0