lunary-ai/lunary 中的敏感信息泄露(CVE-2024-3501)

admin 2024-11-15 17:20:30 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
lunary-ai/lunary 中的敏感信息泄露(CVE-2024-3501)

CVE编号

CVE-2024-3501

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-15
漏洞描述
在lunary-ai/lunary版本,包括最高至并包含版本1.2.5在内,存在一个信息披露漏洞。该漏洞是由于在`GET /v1/users/me`和`GET /v1/users/me/org`这两个API端点的响应中包含一次性令牌所导致的。这些令牌原本用于敏感操作,如密码重置或账户验证,但现在却被未经授权的实体所暴露,可能允许他们代表用户执行操作。这个问题在版本1.2.6中得到了解决,其中减轻了面向用户查询中一次性令牌的暴露风险。
解决建议
"将组件 lunary-ai/lunary 升级至 1.2.6 及以上版本"
参考链接
https://github.com/lunary-ai/lunary/commit/17e95f6c99c7d5ac4ee5451c5857b97a12892c74
https://huntr.com/bounties/8fdfdb9d-10bd-4f00-8004-d5baabc20c6e
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0