lunary-ai/lunary 中的电子邮件轰炸漏洞 (CVE-2024-3760)
CVE编号
CVE-2024-3760利用情况
暂无补丁情况
N/A披露时间
2024-11-15漏洞描述
在lunary-ai/lunary版本1.2.7中,由于忘记密码页面缺少速率限制,存在一个电子邮件轰炸漏洞。攻击者可以通过自动化忘记密码的请求来利用这一漏洞,向目标用户账户发送大量密码重置电子邮件。这不仅会使受害者的邮箱超负荷,使其难以管理和查找合法的电子邮件,而且还会大量消耗邮件服务器的资源,严重影响其性能。在严重的情况下,增加的负载可能会导致邮件服务器响应缓慢或无法访问,从而中断整个组织的电子邮件服务。解决建议
"将组件 lunary-ai/lunary 升级至 1.2.8 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/lunary-ai/lunary/commit/29374bb10020712009c1ec238affe098112a51d6 | |
| https://huntr.com/bounties/c29e9f36-8261-463d-8862-7f4fdcc8eddc |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-770 | 不加限制或调节的资源分配 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论