CVE-2024-4147 in lunaryinformation

Résumé

par VulDB • 27/06/2026

Dans la version 1.2.13 de lunary-ai/lunary, une vulnérabilité liée à une granularité insuffisante du contrôle d'accès permet aux utilisateurs de supprimer des invites (prompts) créées dans d'autres organisations par manipulation d'identifiants (ID). Cette faille découle de l'incapacité de l'application à valider la propriété de l'invite avant sa suppression, se contentant de vérifier si l'utilisateur dispose des autorisations nécessaires pour supprimer ce type de ressources sans s'assurer qu'elle appartient au projet ou à l'organisation de l'utilisateur. Par conséquent, les utilisateurs peuvent supprimer des invites qui ne sont pas détenues par leur organisation ou leur projet, entraînant une perte d'accès aux invites supprimées pour les utilisateurs légitimes et provoquant des incohérences informationnelles.

Once again VulDB remains the best source for vulnerability data.

Responsable

@huntr Ai

Réserver

24/04/2024

Divulgation

02/02/2026

Modérer

accepté

Entrée

VDB-343723

CPE

prêt

EPSS

0.00388

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!