安全研究

安全漏洞
Lunary访问控制错误漏洞(CVE-2024-4147)

发布日期:2026-02-02
更新日期:2026-06-05

受影响系统:
Lunary Lunary 1.2.13
描述:
CVE(CAN) ID: CVE-2024-4147

Lunary是Lunary开源的一个LLM的生产工具包。
Lunary 1.2.13版本存在访问控制错误漏洞,该漏洞源于系统在执行删除操作前,未校验资源归属权,仅检查用户是否拥有删除权限,未验证该资源是否属于用户自身的组织或项目,攻击者可利用该漏洞删除不属于自己组织/项目的内容,造成合法用户无法访问、数据丢失、业务异常。

<**>

建议:
厂商补丁:

Lunary
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/lunary-ai/lunary/commit/0755dde1afc2a74ec23b55eee03e4416916cf48f

浏览次数:159
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障