Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04403

Опубликовано: 07 апр. 2024
Источник: fstec
CVSS3: 6.4
CVSS2: 6.6
EPSS Низкий

Описание

Уязвимость платформы для мониторинга, управления и улучшения приложений LLM Lunary связана с недостатком механизма восстановления пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, использовать токен восстановления для многократной смены пароля пользователя

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Lunary

Версия ПО

1.2.4 (Lunary)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,4)

Возможные меры по устранению уязвимости

Обновление программного средства до актуальной версии.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 34%
0.00138
Низкий

6.4 Medium

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-5277

CVSS3: 7.5
nvd
больше 1 года назад

In lunary-ai/lunary version 1.2.4, a vulnerability exists in the password recovery mechanism where the reset password token is not invalidated after use. This allows an attacker who compromises the recovery token to repeatedly change the password of a victim's account. The issue lies in the backend's handling of the reset password process, where the token, once used, is not discarded or invalidated, enabling its reuse. This vulnerability could lead to unauthorized account access if an attacker obtains the recovery token.

github логотип

GHSA-jjfr-89c6-m7cf

CVSS3: 6.4
github
больше 1 года назад

In lunary-ai/lunary version 1.2.4, a vulnerability exists in the password recovery mechanism where the reset password token is not invalidated after use. This allows an attacker who compromises the recovery token to repeatedly change the password of a victim's account. The issue lies in the backend's handling of the reset password process, where the token, once used, is not discarded or invalidated, enabling its reuse. This vulnerability could lead to unauthorized account access if an attacker obtains the recovery token.

EPSS

Процентиль: 34%
0.00138
Низкий

6.4 Medium

CVSS3

6.6 Medium

CVSS2