从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:unprivileged user can re-generate private key for project in lunary-ai/lunary - 漏洞类型:BUG - 漏洞描述:未授权用户可以重新生成项目私钥。 2. 漏洞复现步骤: 1. 创建一个名为user-A的管理员账户。 2. 登录到user-A账户,并添加另一个名为user-B的用户作为“Member”角色。 3. 从user-A账户创建一个名为Project-A的项目。不要将这个项目分配给user-B。 4. 登录到user-B账户,用户-B无法访问这个项目。 5. 用户-B发送请求以重新生成上述项目的私钥。 3. 漏洞请求: - 请求内容:POST /v1/projects/134d3543-c619-4d2e-83ae-14dff7c59da4/regenerate-key HTTP/2 - 请求头: - Host: localhost:3333 - User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:124.0) Gecko/20100101 Firefox/124.0 - Accept: / - Accept-Language: en-US, en; q=0.5 - Accept-Encoding: gzip, deflate, br - Referer: http://localhost:3333 - Content-Type: application/json - Authorization: Bearer YOUR_TOKEN - Content-Length: 18 - Origin: http://localhost:3333 - Account: TEST2 - 请求体:{"type":"private"} 4. 漏洞影响: - 未授权用户可以重新生成项目私钥。 5. 漏洞状态: - 漏洞已修复。 - 漏洞编号:CVE-2024-3379 - 影响版本:1.2.2 - 修复版本:1.2.7 - 发现者:ranjit-git - 修复者:Hugues Chocart 6. 奖励信息: - 披露奖励:$900 - 修复奖励:$225 7. 时间线: - 报告提交时间:2024年4月5日 - 漏洞验证时间:2024年7月 - 漏洞修复时间:2024年7月 - 漏洞公开时间:2024年7月 8. 社区互动: - 用户Hugues Chocart对漏洞进行了验证和修复,并获得了奖励。 - 用户ranjit-git获得了披露奖励。 - 用户Hugues Chocart获得了修复奖励。 这些信息详细描述了漏洞的性质、复现步骤、影响以及修复过程,有助于理解漏洞的严重性和修复情况。