发布日期：2024-06-06
更新日期：2024-09-05

受影响系统：

Lunary Lunary 1.2.4

描述：

---

CVE(CAN) ID: CVE-2024-5133

Lunary是lunary开源的一个LLM的生产工具包。
Lunary 1.2.4版本存在账户接管漏洞，该漏洞源于在API响应中暴露了密码恢复令牌，经过身份验证的攻击者可捕获另一个用户的恢复令牌，随后在未经同意的情况下更改该用户的密码。

<**>

建议：

---

厂商补丁：

Lunary
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/lunary-ai/lunary/releases/tag/v1.2.29

浏览次数：98
严重程度：0（网友投票）