CVE-2024-4154 in lunaryinformation

Résumé

par VulDB • 26/05/2026

Dans la version 1.2.2 de lunary-ai/lunary, une vulnérabilité de synchronisation incorrecte permet aux utilisateurs non privilégiés de renommer des projets auxquels ils n'ont pas accès. Plus précisément, un utilisateur non privilégié peut envoyer une requête PATCH vers l'endpoint du projet avec un nouveau nom pour un projet, bien qu'il ne dispose pas des autorisations nécessaires ni ne soit assigné à ce projet. Ce problème permet une modification non autorisée des noms de projets, pouvant potentiellement entraîner de la confusion ou un accès non autorisé aux ressources du projet.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

Huntr.dev

Réserver

24/04/2024

Divulgation

21/05/2024

Modérer

accepté

Entrée

VDB-265774

CPE

prêt

EPSS

0.00297

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!