Aplikacja lunary-ai/lunary nieprawidłowo obsługuje wielkość liter w adresach e-mail podczas rejestracji, traktując 'abc@gmail.com' i 'Abc@gmail.com' jako odrębne konta. Pozwala to na tworzenie zduplikowanych kont i potencjalną impersonację innych użytkowników.
▸ Pokaż oryginał (EN)
lunary-ai/lunary is vulnerable to an authentication issue due to improper validation of email addresses during the signup process. Specifically, the server fails to treat email addresses as case insensitive, allowing the creation of multiple accounts with the same email address by varying the case of the email characters. For example, accounts for 'abc@gmail.com' and 'Abc@gmail.com' can both be created, leading to potential impersonation and confusion among users.
Serwer nie normalizuje adresów e-mail do jednolitej wielkości liter przed sprawdzeniem ich unikalności w trakcie procesu rejestracji. Atakujący może zarejestrować konto z adresem e-mail różniącym się wielkością liter od już istniejącego konta (np. 'Abc@gmail.com' zamiast 'abc@gmail.com'). W efekcie w systemie powstają dwa oddzielne konta powiązane z tym samym adresem e-mail, co prowadzi do zamieszania i możliwości podszycia się pod innego użytkownika.
Atakujący może podszyć się pod istniejącego użytkownika, tworząc konto z tożsamym adresem e-mail różniącym się jedynie wielkością liter, co może skutkować nieautoryzowanym dostępem do zasobów lub wprowadzeniem w błąd innych uczestników systemu. Zagrożone są zarówno poufność, jak i integralność danych.
Należy zaktualizować aplikację do wersji zawierającej fix wprowadzony commitem 7351157a21e5acd0162b4528bcae9d65b1c95695 w repozytorium GitHub lunary-ai/lunary. Patch wymusza traktowanie adresów e-mail jako nierozróżniających wielkości liter podczas rejestracji.
Produkt lunary-ai/lunary — wersje wskazane w referencjach producenta (przed commitem 7351157a21e5acd0162b4528bcae9d65b1c95695)
Podatność zgłoszona za pośrednictwem platformy Huntr (bounty 2ca70ba5-b6a4-4873-bd55-bc6cef40d300). CWE-821 (Improper Enforcement of Behavioral Workflow) wskazuje na brak właściwej egzekucji reguł procesu rejestracji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NLunary
APPLunary< 1.0.2
Powiązane podatności
Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową
Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary
SQL Injection w trasie /api/v1/external-users aplikacji Lunary
Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)
Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów