一、 漏洞 CVE-2024-4146 基础信息
漏洞标题
lunary-ai/lunary中的不当授权问题
来源:AIGC 神龙大模型
漏洞描述信息
在lunary-ai/lunary版本v1.2.13中存在一个不恰当的权限验证漏洞,使得未经授权的用户能够访问和操作他们不应访问的组织内的项目。具体来说,该漏洞位于授权中间件的`checkProjectAccess`方法中,该方法未能充分验证用户是否具有访问特定项目的正确权限。相反,它只检查用户是否属于拥有项目的组织,忽略了对`account_project`表进行必要的检查以获取明确的项目访问权限。这一缺陷使攻击者能够完全控制项目内的所有资源,包括创建、更新、读取和删除任何资源的能力,从而威胁到敏感信息的隐私和安全。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
Incorrect Authorization in lunary-ai/lunary
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In lunary-ai/lunary version v1.2.13, an incorrect authorization vulnerability exists that allows unauthorized users to access and manipulate projects within an organization they should not have access to. Specifically, the vulnerability is located in the `checkProjectAccess` method within the authorization middleware, which fails to adequately verify if a user has the correct permissions to access a specific project. Instead, it only checks if the user is part of the organization owning the project, overlooking the necessary check against the `account_project` table for explicit project access rights. This flaw enables attackers to gain complete control over all resources within a project, including the ability to create, update, read, and delete any resource, compromising the privacy and security of sensitive information.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
Lunary 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Lunary是lunary开源的一个 LLM 的生产工具包。 Lunary v1.2.13版本存在授权问题漏洞,该漏洞源于允许未经授权的用户访问和操纵他们本不应该访问的组织内的项目。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-4146 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-4146 的情报信息
- https://huntr.com/bounties/a749e696-b398-4260-b2d0-b0054b9fffa7
-
标题: fix: project accesss (#343) · lunary-ai/lunary@c43b6c6 · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2024-4146