CVE-2024-6867

An information disclosure vulnerability exists in the lunary-ai/lunary, specifically in the `runs/{run_id}/related` endpoint. This endpoint does not verify that the user has the necessary access rights to the run(s) they are accessing. As a result, it returns not only the specified run but also all runs that have the `run_id` listed as their parent run. This issue affects the main branch, commit a761d833. The vulnerability allows unauthorized users to obtain information about non-public runs and their related runs, given the `run_id` of a public or non-public run.
Configurations

Configuration 1 (hide)

cpe:2.3:a:lunary:lunary:1.4.9:*:*:*:*:*:*:*

History

19 Sep 2024, 18:28

Type Values Removed Values Added
First Time Lunary
Lunary lunary
References () https://github.com/lunary-ai/lunary/commit/35afd4439464571eb016318cd7b6f85a162225ca - () https://github.com/lunary-ai/lunary/commit/35afd4439464571eb016318cd7b6f85a162225ca - Patch
References () https://huntr.com/bounties/460df515-164c-4435-954b-0233a181545f - () https://huntr.com/bounties/460df515-164c-4435-954b-0233a181545f - Exploit, Third Party Advisory
Summary
  • (es) Existe una vulnerabilidad de divulgación de información en lunary-ai/lunary, específicamente en el punto de conexión `runs/{run_id}/related`. Este punto de conexión no verifica que el usuario tenga los derechos de acceso necesarios a las ejecuciones a las que está accediendo. Como resultado, no solo devuelve la ejecución especificada, sino también todas las ejecuciones que tienen el `run_id` indicado como su ejecución principal. Este problema afecta a la rama principal, commit a761d833. La vulnerabilidad permite a usuarios no autorizados obtener información sobre ejecuciones no públicas y sus ejecuciones relacionadas, dado el `run_id` de una ejecución pública o no pública.
CVSS v2 : unknown
v3 : 4.3
v2 : unknown
v3 : 6.5
CPE cpe:2.3:a:lunary:lunary:1.4.9:*:*:*:*:*:*:*

13 Sep 2024, 17:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-13 17:15

Updated : 2024-09-19 18:28


NVD link : CVE-2024-6867

Mitre link : CVE-2024-6867

CVE.ORG link : CVE-2024-6867


JSON object : View

Products Affected

lunary

  • lunary
CWE
CWE-1220

Insufficient Granularity of Access Control