Vulnerabilidad en lunary-ai/lunary (CVE-2024-10762)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2025
Última modificación:
02/07/2025
Descripción
En lunary-ai/lunary, versiones anteriores a la 1.5.9, el endpoint /v1/evaluators/ permite a los usuarios eliminar evaluadores de un proyecto mediante una solicitud DELETE. Sin embargo, la ruta carece de un control de acceso adecuado, como middleware, para garantizar que solo los usuarios con los roles adecuados puedan eliminar los datos de los evaluadores. Esta vulnerabilidad permite a usuarios con pocos privilegios eliminar los datos de los evaluadores, lo que provoca una pérdida permanente de datos y podría dificultar las operaciones.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:lunary:lunary:*:*:*:*:*:*:*:* | 1.5.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página