从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Mail bombing: rate-limit absent on forgot-password page in lunary-ai/lunary - 报告日期:2024年4月14日 - 漏洞类型:CWE-770: Allocation of Resources Without Limits or Throttling - 严重性:高(7.5) - 攻击向量:网络 - 攻击复杂性:低 - 特权要求:无 - 用户交互:无 - 范围:未改变 - 机密性:无 - 完整性:无 - 可用性:高 2. 漏洞影响: - 用户账户中断:目标用户账户可能会被大量密码重置邮件淹没,导致难以管理和定位合法邮件。大量的密码重置邮件可能会导致混淆和沮丧。 - 邮件服务器性能和可用性:处理大量密码重置邮件的邮件服务器可能会消耗大量资源,导致性能下降,影响邮件送达速度。在严重情况下,邮件服务器可能会变得无响应或不可用,影响整个组织的邮件服务。 3. 漏洞利用: - 通过自动化忘记密码请求并将其发送到Burp。 - 使用Intruder发送请求并选择用户代理。 - 启动攻击。 - 检查邮箱地址是否被大量邮件淹没。 4. 漏洞状态: - 已修复 - 已发布 - 已分配给lunary-ai/lunary团队 - 已验证 - 已授予披露奖金 - 已授予修复奖金 5. 发现者和修复者: - 发现者:antonin36330 - 修复者:Hugues Chocart 6. 漏洞编号:CVE-2024-3760 7. 受影响版本:1.2.7 8. 奖金信息: - 披露奖金:450美元 - 修复奖金:112.5美元 这些信息提供了关于漏洞的详细描述、影响、利用方法、状态、发现者和修复者、奖金以及受影响版本等关键信息。