漏洞标题
lunary-ai/lunary中的会话重用漏洞
漏洞描述信息
lunary-ai/lunary 存在一个会话重用漏洞,被移除的用户可以在未获得适当授权的情况下更改组织名称。这个漏洞源于在允许用户进行更改之前,缺乏对用户是否仍属于该组织的验证。攻击者可以通过使用旧的授权令牌发送 PATCH 请求来利用此漏洞,即使在被移出组织后也能修改组织的名称。这个问题是由于同步不正确引起的,影响了 orgs.patch 路由。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
漏洞类别
不充分的会话过期机制
漏洞标题
Session Reuse Vulnerability in lunary-ai/lunary
漏洞描述信息
lunary-ai/lunary is vulnerable to a session reuse attack, allowing a removed user to change the organization name without proper authorization. The vulnerability stems from the lack of validation to check if a user is still part of an organization before allowing them to make changes. An attacker can exploit this by using an old authorization token to send a PATCH request, modifying the organization's name even after being removed from the organization. This issue is due to incorrect synchronization and affects the orgs.patch route.
CVSS信息
N/A
漏洞类别
不正确的同步机制
漏洞标题
lunary 安全漏洞
漏洞描述信息
Lunary是lunary开源的一个 LLM 的生产工具包。 lunary存在安全漏洞,该漏洞源于允许已删除的用户在未经授权的情况下更改组织名称。
CVSS信息
N/A
漏洞类别
其他