CVE-2024-4154 in lunary
Résumé
par VulDB • 26/05/2026
Dans la version 1.2.2 de lunary-ai/lunary, une vulnérabilité de synchronisation incorrecte permet aux utilisateurs non privilégiés de renommer des projets auxquels ils n'ont pas accès. Plus précisément, un utilisateur non privilégié peut envoyer une requête PATCH vers l'endpoint du projet avec un nouveau nom pour un projet, bien qu'il ne dispose pas des autorisations nécessaires ni ne soit assigné à ce projet. Ce problème permet une modification non autorisée des noms de projets, pouvant potentiellement entraîner de la confusion ou un accès non autorisé aux ressources du projet.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.