漏洞标题
未经授权的组织访问lunary-ai/lunary
漏洞描述信息
通过知道一个组织的ID,攻击者可以在未经许可的情况下加入该组织,并获得访问和修改该组织内所有数据的权限。这个漏洞允许未授权访问和修改敏感信息,构成了重大的安全风险。这个漏洞是由于在加入组织时对用户权限验证不足所造成的。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
授权机制不正确
漏洞标题
Unauthorized Organization Access in lunary-ai/lunary
漏洞描述信息
By knowing an organization's ID, an attacker can join the organization without permission and gain the ability to read and modify all data within that organization. This vulnerability allows unauthorized access and modification of sensitive information, posing a significant security risk. The flaw is due to insufficient verification of user permissions when joining an organization.
CVSS信息
N/A
漏洞类别
信息暴露
漏洞标题
lunary 信息泄露漏洞
漏洞描述信息
Lunary是lunary开源的一个 LLM 的生产工具包。 lunary存在信息泄露漏洞,该漏洞源于加入组织时对用户权限验证不充分。
CVSS信息
N/A
漏洞类别
信息泄露