Informazioni sul CVE-2024-7472
Email Injection Vulnerability in lunary-ai/lunary
CWE ID: CWE-75
Base Score (CVSS): N/A
CVE: CVE-2024-7472
Descrizione: lunary-ai/lunary v1.2.26 contains an email injection vulnerability in the Send email verification API (/v1/users/send-verification) and Sign up API (/auth/signup). An unauthenticated attacker can inject data into outgoing emails by bypassing the extractFirstName function using a different whitespace character (e.g., \xa0). This vulnerability can be exploited to conduct phishing attacks, damage the application’s brand, cause legal and compliance issues, and result in financial impact due to unauthorized email usage.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/dc1feec6-1efb-4538-9b56-ab25deb80948
- https://github.com/lunary-ai/lunary/commit/a39837d7c49936a0c435d241f37ca2ea7904d2cd
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-75
CVSS: 0.0