Vulnerabilidad en lunary-ai/lunary (CVE-2024-3760)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

14/11/2024

Última modificación:

18/11/2024

Descripción

En la versión 1.2.7 de lunary-ai/lunary, no existe un límite de velocidad en la página de contraseña olvidada, lo que genera una vulnerabilidad de bombardeo de correo electrónico. Los atacantes pueden aprovechar esto automatizando las solicitudes de contraseña olvidada para inundar las cuentas de usuario objetivo con un gran volumen de correos electrónicos de restablecimiento de contraseña. Esto no solo sobrecarga el buzón de la víctima, lo que dificulta la administración y la ubicación de correos electrónicos legítimos, sino que también afecta significativamente a los servidores de correo al consumir sus recursos. El aumento de la carga puede causar una degradación del rendimiento y, en casos graves, hacer que los servidores de correo no respondan o no estén disponibles, lo que interrumpe los servicios de correo electrónico para toda la organización.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto