从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Run info leak without valid authorization in lunary-ai/lunary - 报告日期:2024年5月7日 - 状态:已验证 2. 漏洞类型: - CVE编号:CVE-2024-6867 - 类型:CWE-1220: Insufficient Granularity of Access Control 3. 漏洞严重性: - 等级:中等(4.3) 4. 漏洞影响: - 描述:该漏洞允许攻击者通过非公共运行的run_id和相关运行获取信息。攻击者可以利用公共父运行的run_id来获取非公共运行的信息。 5. 漏洞利用: - POC(Proof of Concept)示例: - 创建一个具有私有项目密钥和项目ID的用户,并执行以下curl命令: - 这将返回一个包含非公共运行信息的响应。 6. 漏洞影响: - 描述:该漏洞允许攻击者通过非公共运行的run_id和相关运行获取信息。攻击者可以利用公共父运行的run_id来获取非公共运行的信息。 7. 漏洞修复: - 状态:已修复 - 修复者:Hugues Chocart - 修复日期:2024年5月7日 8. 奖励信息: - 披露奖金:$75 - 修复奖金:$18.75 - 发现者:patrik-ha 9. 其他信息: - 受影响版本:branch main, commit a761d833 - 可见性:公共 - 状态:已修复 - 发现者:patrik-ha - 修复者:Hugues Chocart 这些信息提供了关于漏洞的详细描述、利用方法、影响、修复情况以及奖励等关键细节。