CVE-2024-1625 in lunaryالمعلومات

الملخص

بحسب VulDB • 17/06/2026

توجد ثغرة في مرجع الكائن المباشر غير الآمن (IDOR) في تطبيق lunary-ai/lunary الإصدار 0.3.0، مما يتيح حذف أي مشروع لأي منظمة دون تفويض. تعود الثغرة إلى عدم كفاية فحوصات التفويض في نقطة نهاية حذف المشروع، حيث يفشل هذا النقطة في التحقق من أن معرف المشروع المقدم في الطلب ينتمي لمنظمة المستخدم الذي أرسل الطلب. نتيجة لذلك، يمكن لمهاجم حذف مشاريع تابعة لأي منظمة عن طريق إرسال طلب DELETE مُعدّ بعناية مع معرف مشروع الهدف. تؤثر هذه المشكلة على وظيفة حذف المشاريع المُنفذة في مسار projects.delete.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

Huntr.dev

حجز

19/02/2024

إفشاء

10/04/2024

الاعتدال

تمت الموافقة

إدخال

VDB-260220

EPSS

0.00436

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!