CVE-2024-1625 in lunary
الملخص
بحسب VulDB • 17/06/2026
توجد ثغرة في مرجع الكائن المباشر غير الآمن (IDOR) في تطبيق lunary-ai/lunary الإصدار 0.3.0، مما يتيح حذف أي مشروع لأي منظمة دون تفويض. تعود الثغرة إلى عدم كفاية فحوصات التفويض في نقطة نهاية حذف المشروع، حيث يفشل هذا النقطة في التحقق من أن معرف المشروع المقدم في الطلب ينتمي لمنظمة المستخدم الذي أرسل الطلب. نتيجة لذلك، يمكن لمهاجم حذف مشاريع تابعة لأي منظمة عن طريق إرسال طلب DELETE مُعدّ بعناية مع معرف مشروع الهدف. تؤثر هذه المشكلة على وظيفة حذف المشاريع المُنفذة في مسار projects.delete.
If you want to get best quality of vulnerability data, you may have to visit VulDB.