W wersji v1.2.13 platformy lunary-ai/lunary istnieje podatność nieprawidłowej autoryzacji, która pozwala nieuprawnionym użytkownikom na dostęp i manipulację projektami w organizacji. Atakujący może uzyskać pełną kontrolę nad zasobami dowolnego projektu bez posiadania odpowiednich uprawnień.
▸ Pokaż oryginał (EN)
In lunary-ai/lunary version v1.2.13, an incorrect authorization vulnerability exists that allows unauthorized users to access and manipulate projects within an organization they should not have access to. Specifically, the vulnerability is located in the `checkProjectAccess` method within the authorization middleware, which fails to adequately verify if a user has the correct permissions to access a specific project. Instead, it only checks if the user is part of the organization owning the project, overlooking the necessary check against the `account_project` table for explicit project access rights. This flaw enables attackers to gain complete control over all resources within a project, including the ability to create, update, read, and delete any resource, compromising the privacy and security of sensitive information.
Podatność znajduje się w metodzie `checkProjectAccess` w middleware autoryzacyjnym. Mechanizm weryfikacji sprawdza jedynie, czy użytkownik należy do organizacji będącej właścicielem projektu, pomijając konieczne sprawdzenie tabeli `account_project` pod kątem jawnych praw dostępu do konkretnego projektu. Takie niepełne sprawdzenie uprawnień pozwala każdemu użytkownikowi danej organizacji na dostęp do projektów, do których formalnie nie powinien mieć dostępu.
Atakujący uzyskuje pełną kontrolę nad wszystkimi zasobami projektu — może tworzyć, odczytywać, modyfikować i usuwać dowolne zasoby, co prowadzi do naruszenia poufności i integralności wrażliwych danych organizacji.
Należy zastosować patch dostępny w repozytorium producenta (commit c43b6c62035f32ca455f66d5fd22ba661648cde7 na GitHub) oraz zaktualizować aplikację do wersji zawierającej poprawkę zgodnie z referencjami producenta.
Lunary (lunary-ai/lunary) w wersji v1.2.13
Podatność została zgłoszona i udokumentowana za pośrednictwem platformy huntr.com (bounty a749e696-b398-4260-b2d0-b0054b9fffa7). Poprawka dostępna jako commit c43b6c62035f32ca455f66d5fd22ba661648cde7 w repozytorium GitHub lunary-ai/lunary.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HLunary
APPLunary1.2.13
Powiązane podatności
Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową
Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary
SQL Injection w trasie /api/v1/external-users aplikacji Lunary
Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)
SSRF w Lunary – nieautoryzowane żądania przez endpoint SAML IdP