CVE-2024-4147 in lunary
摘要
由 VulDB • 2026-06-14
在 lunary-ai/lunary 1.2.13 版本中,存在一个访问控制粒度不足漏洞,允许用户通过操纵 ID 删除其他组织中创建的提示词(prompts)。该漏洞源于应用程序在删除前未验证提示词的所有权,仅检查用户是否拥有删除此类资源的权限,而未验证该提示词是否属于该用户的项目或组织。因此,用户可以删除不属于其组织或项目的提示词,导致合法用户无法访问被删除的提示词,并引发信息不一致。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.