发布日期：2025-08-18
更新日期：2026-02-26

受影响系统：

Lunary API Lunary API <= 0.8.8

描述：

---

CVE(CAN) ID: CVE-2025-4962

Lunary是Lunary开源的一个LLM的生产工具包。
Lunary API 0.8.8及之前版本的“POST /v1/templates”端点存在不安全的直接对象引用漏洞，该漏洞源于程序缺少服务器端身份验证，经过身份认证的攻击者可利用该漏洞通过更改“projectId”查询参数在其他用户项目中创建模板。

<**>

建议：

---

厂商补丁：

Lunary API
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://huntr.com/bounties/137a0aef-e243-49d4-832f-8e56056cba1a

浏览次数：53
严重程度：0（网友投票）