一、 漏洞 CVE-2024-3760 基础信息
漏洞标题
电子邮件炸弹漏洞弱点
来源:AIGC 神龙大模型
漏洞描述信息
在lunary-ai/lunary版本1.2.7中,忘记密码页面缺乏速率限制,导致了电子邮件轰炸漏洞。攻击者可以通过自动化忘记密码请求,向目标用户账户发送大量密码重置邮件,从而淹没受害者的邮箱,使其难以管理和定位合法邮件。此外,这也会显著影响邮件服务器的资源消耗,增加的负载会导致性能下降,在严重情况下,可能导致邮件服务器无响应或不可用,进而中断整个组织的电子邮件服务。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
不加限制或调节的资源分配
来源:AIGC 神龙大模型
漏洞标题
Email Bombing Vulnerability in lunary-ai/lunary
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In lunary-ai/lunary version 1.2.7, there is a lack of rate limiting on the forgot password page, leading to an email bombing vulnerability. Attackers can exploit this by automating forgot password requests to flood targeted user accounts with a high volume of password reset emails. This not only overwhelms the victim's mailbox, making it difficult to manage and locate legitimate emails, but also significantly impacts mail servers by consuming their resources. The increased load can cause performance degradation and, in severe cases, make the mail servers unresponsive or unavailable, disrupting email services for the entire organization.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Lunary 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Lunary是Lunary开源的一个 LLM 的生产工具包。 Lunary 1.2.7版本存在安全漏洞,该漏洞源于忘记密码页面缺乏速率限制,导致电子邮件轰炸漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-3760 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-3760 的情报信息
-
-
标题: fix: reate limit on reset password endpoint (#203) · lunary-ai/lunary@29374bb · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-3760