CRITICAL🇬🇧 English

CVE-2024-1739

Lunary: błąd walidacji adresów e-mail umożliwia impersonację użytkowników

CVSS 9.1v3.1pub. 2024-04-16upd. 2025-06-18

Aplikacja lunary-ai/lunary nieprawidłowo obsługuje wielkość liter w adresach e-mail podczas rejestracji, traktując 'abc@gmail.com' i 'Abc@gmail.com' jako odrębne konta. Pozwala to na tworzenie zduplikowanych kont i potencjalną impersonację innych użytkowników.

Pokaż oryginał (EN)

lunary-ai/lunary is vulnerable to an authentication issue due to improper validation of email addresses during the signup process. Specifically, the server fails to treat email addresses as case insensitive, allowing the creation of multiple accounts with the same email address by varying the case of the email characters. For example, accounts for 'abc@gmail.com' and 'Abc@gmail.com' can both be created, leading to potential impersonation and confusion among users.

🤖 Analiza AI
Jak działa

Serwer nie normalizuje adresów e-mail do jednolitej wielkości liter przed sprawdzeniem ich unikalności w trakcie procesu rejestracji. Atakujący może zarejestrować konto z adresem e-mail różniącym się wielkością liter od już istniejącego konta (np. 'Abc@gmail.com' zamiast 'abc@gmail.com'). W efekcie w systemie powstają dwa oddzielne konta powiązane z tym samym adresem e-mail, co prowadzi do zamieszania i możliwości podszycia się pod innego użytkownika.

Skutki

Atakujący może podszyć się pod istniejącego użytkownika, tworząc konto z tożsamym adresem e-mail różniącym się jedynie wielkością liter, co może skutkować nieautoryzowanym dostępem do zasobów lub wprowadzeniem w błąd innych uczestników systemu. Zagrożone są zarówno poufność, jak i integralność danych.

Mitygacja

Należy zaktualizować aplikację do wersji zawierającej fix wprowadzony commitem 7351157a21e5acd0162b4528bcae9d65b1c95695 w repozytorium GitHub lunary-ai/lunary. Patch wymusza traktowanie adresów e-mail jako nierozróżniających wielkości liter podczas rejestracji.

Kogo dotyczy

Produkt lunary-ai/lunary — wersje wskazane w referencjach producenta (przed commitem 7351157a21e5acd0162b4528bcae9d65b1c95695)

Uwagi

Podatność zgłoszona za pośrednictwem platformy Huntr (bounty 2ca70ba5-b6a4-4873-bd55-bc6cef40d300). CWE-821 (Improper Enforcement of Behavioral Workflow) wskazuje na brak właściwej egzekucji reguł procesu rejestracji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Lunary

    APP
    Lunary
    < 1.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-5352CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową

CVE-2024-9095CRITICAL9.8PL ✓ten sam produkt

Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary

CVE-2024-7456CRITICAL9.8PL ✓ten sam produkt

SQL Injection w trasie /api/v1/external-users aplikacji Lunary

CVE-2024-7475CRITICAL9.1PL ✓ten sam produkt

Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)

CVE-2024-4146CRITICAL9.8PL ✓ten sam produkt

Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów