一、 漏洞 CVE-2024-6862 基础信息
漏洞标题
在lunary-ai/lunary中的跨站请求伪造(CSRF)
在lunary-ai/lunary项目中,存在跨站请求伪造(Cross-Site Request Forgery,简称CSRF)的安全漏洞。CSRF是一种对Web应用程序发起的恶意自动操作,攻击者利用受害者在受信任站点的会话中进行操作的权限,通过伪造请求来欺骗服务器执行非预期的行动。
为了解决这个问题,可以采取以下措施:
1. **使用HTTP头部的`X-Requested-With`字段**:服务器端在验证请求时检查这个字段是否存在,如果不存在则认为是恶意攻击。
2. **利用CSRF令牌**:为每个用户会话生成一个唯一的随机令牌,并将其与每个请求一起发送。服务器在验证请求时,检查请求中是否包含了该令牌,并且该令牌是否与用户会话中的令牌匹配。
3. **严格验证请求的来源**:除了令牌验证外,还可以在服务器端检查请求的来源,确保请求是由预期的前端页面发起的。
4. **限制敏感操作的权限**:对于需要用户确认的操作(如账户修改、资金转移等),在服务器端增加额外的验证步骤,如双因素认证或短信验证码。
通过实施这些安全措施,可以有效减少CSRF攻击的风险,保护lunary-ai/lunary项目中用户的数据安全和账户安全。
来源:AIGC 神龙大模型
漏洞描述信息
在lunary-ai/lunary版本1.2.34中存在跨站请求伪造(CSRF)漏洞,这是因为后端的CORS设置过于宽松。这个漏洞允许攻击者冒充用户身份进行注册、创建项目或使用实例。主要的攻击向量是对于在个人计算机上本地托管、且无法公开访问的实例。后端的CORS设置允许所有来源,因此未认证的端点暴露于CSRF攻击中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
跨站请求伪造(CSRF)
来源:AIGC 神龙大模型
漏洞标题
Cross-Site Request Forgery (CSRF) in lunary-ai/lunary
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A Cross-Site Request Forgery (CSRF) vulnerability exists in lunary-ai/lunary version 1.2.34 due to overly permissive CORS settings. This vulnerability allows an attacker to sign up for and create projects or use the instance as if they were a user with local access. The main attack vector is for instances hosted locally on personal machines, which are not publicly accessible. The CORS settings in the backend permit all origins, exposing unauthenticated endpoints to CSRF attacks.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Lunary 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Lunary是Lunary开源的一个 LLM 的生产工具包。 Lunary 1.2.34版本存在跨站请求伪造漏洞,该漏洞源于过于宽松的CORS设置,可能允许攻击者像拥有本地访问权限的用户一样注册和创建项目。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-6862 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
