Vulnerabilidad en lunary-ai/lunary (CVE-2024-1626)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/04/2024

Última modificación:

31/01/2025

Descripción

Existe una vulnerabilidad de referencia directa a objetos inseguros (IDOR) en el repositorio lunary-ai/lunary, versión 0.3.0, dentro del endpoint de actualización del proyecto. La vulnerabilidad permite a los usuarios autenticados modificar el nombre de cualquier proyecto dentro del sistema sin las comprobaciones de autorización adecuadas, haciendo referencia directamente al ID del proyecto en la solicitud PATCH al endpoint &#39;/v1/projects/:projectId&#39;. Este problema surge porque el endpoint no verifica si el ID del proyecto proporcionado pertenece al usuario actualmente autenticado, lo que permite modificaciones no autorizadas en diferentes proyectos organizacionales.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno