Informazioni sul CVE-2024-9096
Improper Authorization in lunary-ai/lunary
CWE ID: CWE-285
Base Score (CVSS): N/A
CVE: CVE-2024-9096
Descrizione: In lunary-ai/lunary version 1.4.28, the /checklists/:id route allows low-privilege users to modify checklists by sending a PATCH request. The route lacks proper access control, such as middleware to ensure that only authorized users (e.g., project owners or admins) can modify checklist data. This vulnerability allows any user associated with the project, regardless of their role, to modify checklists, including changing the slug or data fields, which can lead to tampering with essential project workflows, altering business logic, and introducing errors that undermine integrity.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://huntr.com/bounties/653e7109-4c21-4e33-b636-7598d3202b9a
- https://github.com/lunary-ai/lunary/commit/a8d7b2959e87c30fbafdb12af7ffa093385dcc60
Prodotti interessati
- lunary-ai – lunary-ai/lunary
Relazioni con altri prodotti
Produttore:lunary-ai
Prodotto: lunary-ai/lunary
Anno: 2024
CWE: CWE-285
CVSS: 0.0