Vulnerabilidad en lunary-ai/lunary (CVE-2024-10275)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
20/03/2025
Última modificación:
02/07/2025
Descripción
En la versión 1.5.5 de lunary-ai/lunary, existe una vulnerabilidad que permite a los administradores, sin permisos directos para acceder a los recursos de facturación, modificar los permisos de los usuarios existentes para incluirlos. Esto puede dar lugar a una escalada de privilegios donde un administrador puede gestionar la facturación, omitiendo así el control de acceso basado en roles. Solo los usuarios con el rol de "propietario" deberían poder invitar a miembros con permisos de facturación. Esta falla permite a los administradores eludir estas restricciones, obteniendo acceso y control no autorizados sobre la información de facturación, lo que supone un riesgo para los recursos financieros de la organización.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:lunary:lunary:*:*:*:*:*:*:*:* | 1.5.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página