CVE-2024-1739

lunary-ai/lunary is vulnerable to an authentication issue due to improper validation of email addresses during the signup process. Specifically, the server fails to treat email addresses as case insensitive, allowing the creation of multiple accounts with the same email address by varying the case of the email characters. For example, accounts for 'abc@gmail.com' and 'Abc@gmail.com' can both be created, leading to potential impersonation and confusion among users.

CVSS v3 7.5 HIGH

7.5^/10

CVSS v3 : HIGH

V3 Legend

Vector : AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/lunary-ai/lunary/commit/7351157a21e5acd0162b4528bcae9d65b1c95695
https://huntr.com/bounties/2ca70ba5-b6a4-4873-bd55-bc6cef40d300

Configurations

No configuration.

History

16 Apr 2024, 13:24

Type	Values Removed	Values Added
Summary		(es) lunary-ai/lunary es vulnerable a un problema de autenticación debido a una validación incorrecta de las direcciones de correo electrónico durante el proceso de registro. Específicamente, el servidor no trata las direcciones de correo electrónico sin distinguir entre mayúsculas y minúsculas, lo que permite la creación de varias cuentas con la misma dirección de correo electrónico variando las mayúsculas y minúsculas de los caracteres del correo electrónico. Por ejemplo, se pueden crear cuentas para 'abc@gmail.com' y 'Abc@gmail.com', lo que genera una posible suplantación de identidad y confusión entre los usuarios.

16 Apr 2024, 00:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-04-16 00:15

Updated : 2024-04-16 13:24

NVD link : CVE-2024-1739

Mitre link : CVE-2024-1739

CVE.ORG link : CVE-2024-1739

JSON object : View

Products Affected

No product.

CWE

CWE-821

Incorrect Synchronization

7.5 /10