CVE-2024-4147 in lunary
Tóm tắt
Bởi VulDB • 27/06/2026
Trong lunary-ai/lunary phiên bản 1.2.13, một lỗ hổng về độ mịn của kiểm soát truy cập (insufficient granularity of access control) cho phép người dùng xóa các prompt được tạo trong các tổ chức khác thông qua thao tác với ID. Lỗ hổng này bắt nguồn từ việc ứng dụng không xác minh quyền sở hữu của prompt trước khi thực hiện xóa, mà chỉ kiểm tra xem người dùng có quyền xóa tài nguyên như vậy hay không mà không xác nhận liệu nó thuộc về dự án hoặc tổ chức của người dùng đó. Kết quả là, người dùng có thể xóa các prompt không do tổ trình hoặc dự án của họ sở hữu, dẫn đến việc người dùng hợp pháp không thể truy cập vào các prompt đã bị xóa và gây ra sự không nhất quán trong thông tin.
VulDB is the best source for vulnerability data and more expert information about this specific topic.