Vulnerabilidad en lunary-ai/lunary (CVE-2024-9096)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

20/03/2025

Última modificación:

10/04/2025

Descripción

En la versión 1.4.28 de lunary-ai/lunary, la ruta /checklists/:id permite a usuarios con pocos privilegios modificar listas de verificación mediante una solicitud PATCH. Esta ruta carece de un control de acceso adecuado, como middleware, que garantice que solo los usuarios autorizados (p. ej., propietarios o administradores de proyectos) puedan modificar los datos de las listas de verificación. Esta vulnerabilidad permite a cualquier usuario asociado al proyecto, independientemente de su rol, modificar las listas de verificación, incluyendo la modificación del slug o de los campos de datos, lo que puede provocar la manipulación de flujos de trabajo esenciales del proyecto, la alteración de la lógica de negocio y la introducción de errores que socavan la integridad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno