Vulnerabilidad en lunary-ai/lunary (CVE-2024-5714)

En lunary-ai/lunary versión 1.2.4, una vulnerabilidad de control de acceso inadecuado permite a los miembros con permisos de administración de equipos manipular identificadores de proyectos en solicitudes, permitiéndoles invitar a usuarios a proyectos en otras organizaciones, cambiar miembros a proyectos en otras organizaciones con privilegios escalados. y cambiar miembros de otras organizaciones a proyectos propios o de otros, también con privilegios aumentados. Esta vulnerabilidad se debe a que el backend no valida los identificadores de proyecto con el ID de la organización del usuario actual y los proyectos que le pertenecen, así como a una mala configuración en la denominación de atributos ("org_id" debe ser "orgId") que impide la validación adecuada de la organización del usuario. Como resultado, los atacantes pueden provocar inconsistencias en la plataforma para los usuarios y organizaciones afectados, incluida una escalada de privilegios no autorizada. El problema está presente en los endpoints de la API backend para la invitación y modificación de usuarios, específicamente en el manejo de ID de proyecto en solicitudes.