lunary-ai/lunary 中的敏感信息泄露(CVE-2024-3501)
CVE编号
CVE-2024-3501利用情况
暂无补丁情况
N/A披露时间
2024-11-15漏洞描述
在lunary-ai/lunary版本,包括最高至并包含版本1.2.5在内,存在一个信息披露漏洞。该漏洞是由于在`GET /v1/users/me`和`GET /v1/users/me/org`这两个API端点的响应中包含一次性令牌所导致的。这些令牌原本用于敏感操作,如密码重置或账户验证,但现在却被未经授权的实体所暴露,可能允许他们代表用户执行操作。这个问题在版本1.2.6中得到了解决,其中减轻了面向用户查询中一次性令牌的暴露风险。解决建议
"将组件 lunary-ai/lunary 升级至 1.2.6 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/lunary-ai/lunary/commit/17e95f6c99c7d5ac4ee5451c5857b97a12892c74 | |
| https://huntr.com/bounties/8fdfdb9d-10bd-4f00-8004-d5baabc20c6e |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论