从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:IDOR allow view/delete external_user in lunar-ai/lunary - 报告日期:2024年7月1日 - 漏洞类型:CWE-284: Improper Access Control - 漏洞严重性:Critical (9.1) - 漏洞代码: - 漏洞影响:用户可以查看或删除所有内部用户的id值,该id值容易被猜测。 2. 漏洞利用: - 利用步骤: 1. 登录到lunary dashboard。 2. 转到任务用户。 3. 在burp suite中拦截并编辑ID。 3. 漏洞影响: - 任何应用程序的用户都可以通过发送请求并更改容易猜测的id值来轻松查看或删除user_externals。 4. 漏洞状态: - 状态:已修复 - 披露奖金:$900 - 修复奖金:$225 - 发现者:Chiencp (@meme-dm) - 修复者:Hugues Chocart (@hughcrt) 5. 漏洞跟踪: - CVE编号:CVE-2024-7474 - 受影响版本:1.3.2 - 可见性:公共 - 状态:已修复 - 披露时间:一个月前 6. 社区互动: - 报告处理:报告已提交,团队将在24小时内联系漏洞报告者。 - 漏洞验证:漏洞已由Hugues Chocart验证。 - 社区讨论:有社区成员询问是否可以将CVE公开。 这些信息提供了关于漏洞的详细描述、利用方法、影响范围、状态和社区互动的全面概述。