Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en lunary-ai/lunary (CVE-2024-10762)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/03/2025
Última modificación:
02/07/2025

Descripción

En lunary-ai/lunary, versiones anteriores a la 1.5.9, el endpoint /v1/evaluators/ permite a los usuarios eliminar evaluadores de un proyecto mediante una solicitud DELETE. Sin embargo, la ruta carece de un control de acceso adecuado, como middleware, para garantizar que solo los usuarios con los roles adecuados puedan eliminar los datos de los evaluadores. Esta vulnerabilidad permite a usuarios con pocos privilegios eliminar los datos de los evaluadores, lo que provoca una pérdida permanente de datos y podría dificultar las operaciones.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lunary:lunary:*:*:*:*:*:*:*:* 1.5.9 (excluyendo)