W aplikacji Lunary (lunary-ai/lunary) wykryto podatność typu Server-Side Request Forgery (SSRF) w endpoincie '/auth/saml/tto/download-idp-xml'. Umożliwia ona nieuwierzytelnionemu atakującemu zmuszenie serwera do wykonania żądań do dowolnych zasobów wewnętrznych lub zewnętrznych, co czyni ją szczególnie groźną w środowiskach chmurowych i sieciach korporacyjnych.
▸ Pokaż oryginał (EN)
A Server-Side Request Forgery (SSRF) vulnerability exists in the lunary-ai/lunary application, specifically within the endpoint '/auth/saml/tto/download-idp-xml'. The vulnerability arises due to the application's failure to validate user-supplied URLs before using them in server-side requests. An attacker can exploit this vulnerability by sending a specially crafted request to the affected endpoint, allowing them to make unauthorized requests to internal or external resources. This could lead to the disclosure of sensitive information, service disruption, or further attacks against the network infrastructure. The issue affects the latest version of the application as of the report.
Podatność wynika z braku walidacji adresów URL dostarczanych przez użytkownika przed ich użyciem w żądaniach po stronie serwera. Atakujący wysyła specjalnie spreparowane żądanie do endpointu odpowiedzialnego za pobieranie pliku XML konfiguracji dostawcy tożsamości (IdP) w ramach integracji SAML. Serwer, bez weryfikacji, wykonuje żądanie HTTP pod wskazany przez atakującego adres, co pozwala na docieranie do zasobów niedostępnych bezpośrednio z zewnątrz – w tym wewnętrznych usług sieciowych, metadanych środowisk chmurowych czy innych komponentów infrastruktury.
Atakujący może uzyskać dostęp do wrażliwych informacji z wewnętrznej infrastruktury (np. metadanych instancji chmurowej, tokenów dostępowych, konfiguracji usług), spowodować zakłócenia w działaniu usług lub przygotować grunt pod dalsze ataki na sieć wewnętrzną (lateral movement).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również wdrożenie walidacji i filtrowania adresów URL po stronie serwera (allowlisting dozwolonych hostów) oraz ograniczenie możliwości wychodzących połączeń sieciowych serwera aplikacyjnego do wymaganych minimum.
Najnowsza wersja aplikacji Lunary (lunary-ai/lunary) dostępna w momencie zgłoszenia podatności – wersje wskazane w referencjach producenta.
Podatność została zgłoszona za pośrednictwem platformy huntr.com (bug bounty). Endpoint podatny na SSRF nie wymaga uwierzytelnienia (PR:N, UI:N), co znacząco zwiększa ryzyko eksploatacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:LLunary
APPLunarywszystkie wersje
Powiązane podatności
Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową
Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary
SQL Injection w trasie /api/v1/external-users aplikacji Lunary
Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)
Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów