Improper Access Control in lunary-ai/lunary 漏洞信息(CVE-2024-6086)

一、漏洞 CVE-2024-6086 基础信息

漏洞标题

在lunary-ai/lunary中，权限控制不当

来源：AIGC 神龙大模型

漏洞描述信息

在lunary-ai/lunary的1.2.7版本中，任何经过验证的用户，无论其角色如何，都可以因为不适当的访问控制而更改组织的名称。函数checkAccess()未被实现，这使得拥有最低权限的用户，例如“提示编辑器”角色，可以在没有适当授权的情况下修改组织属性。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

授权机制不正确

来源：AIGC 神龙大模型

漏洞标题

Improper Access Control in lunary-ai/lunary

来源：美国国家漏洞数据库 NVD

漏洞描述信息

In version 1.2.7 of lunary-ai/lunary, any authenticated user, regardless of their role, can change the name of an organization due to improper access control. The function checkAccess() is not implemented, allowing users with the lowest privileges, such as the 'Prompt Editor' role, to modify organization attributes without proper authorization.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

访问控制不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

lunary 访问控制错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Lunary是lunary开源的一个 LLM 的生产工具包。 lunary 1.2.7版本存在访问控制错误漏洞，该漏洞源于访问控制不当，任何经过身份验证的用户都可以更改组织的名称。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-6086 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2024-6086 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2024-6086 的公开POC

三、漏洞 CVE-2024-6086 的情报信息

一、漏洞 CVE-2024-6086 基础信息