Vulnerabilidad en lunary-ai/lunary (CVE-2024-9000)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

20/03/2025

Última modificación:

10/04/2025

Descripción

En lunary-ai/lunary anteriores a la versión 1.4.26, el endpoint checklists.post() permitía a los usuarios crear o modificar listas de verificación sin verificar si tenían los permisos adecuados. Esta falta de control de acceso permitía a usuarios no autorizados crear listas de verificación, omitiendo las comprobaciones de permisos. Además, el endpoint no validaba la unicidad del campo slug al crear una nueva lista de verificación, lo que permitía a un atacante falsificar listas de verificación existentes reutilizando el slug de una ya existente. Esto puede generar importantes problemas de integridad de los datos, ya que las listas de verificación legítimas pueden ser reemplazadas con datos maliciosos o alterados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno