CRITICAL🇬🇧 English

CVE-2024-9095

Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary

CVSS 9.8v3.1pub. 2025-03-20upd. 2025-10-15

W aplikacji Lunary w wersji v1.4.28 trasa API /bigquery nie implementuje właściwej kontroli dostępu, co pozwala każdemu zalogowanemu użytkownikowi na eksport całej bazy danych do Google BigQuery. Podatność jest szczególnie niebezpieczna, ponieważ eksportowane dane zawierają hashe haseł oraz tajne klucze API.

Pokaż oryginał (EN)

In lunary-ai/lunary version v1.4.28, the /bigquery API route lacks proper access control, allowing any logged-in user to create a Datastream to Google BigQuery and export the entire database. This includes sensitive data such as password hashes and secret API keys. The route is protected by a config check (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), but it does not verify the user's access level or implement any access control middleware. This vulnerability can lead to the extraction of sensitive data, disruption of services, credential compromise, and service integrity breaches.

🤖 Analiza AI
Jak działa

Trasa /bigquery jest chroniona wyłącznie sprawdzeniem konfiguracji (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), jednak nie weryfikuje poziomu uprawnień użytkownika ani nie stosuje żadnego middleware kontroli dostępu. W efekcie każdy uwierzytelniony użytkownik — niezależnie od posiadanej roli — może wywołać endpoint i zainicjować Datastream eksportujący pełną zawartość bazy danych do Google BigQuery. Brak mechanizmu autoryzacji (CWE-862) oznacza, że samo posiadanie aktywnej sesji wystarczy do wykonania tej operacji.

Skutki

Atakujący może wyeksportować całą bazę danych aplikacji, uzyskując dostęp do wrażliwych danych takich jak hashe haseł i tajne klucze API, co prowadzi do kompromitacji poświadczeń, naruszenia integralności usługi oraz potencjalnego zakłócenia jej działania.

Mitygacja

Należy zastosować patch dostępny w repozytorium producenta (commit a8d7b2959e87c30fbafdb12af7ffa093385dcc60) lub zaktualizować aplikację do wersji zawierającej poprawkę zgodnie z referencjami producenta.

Kogo dotyczy

Lunary w wersji v1.4.28

Uwagi

Podatność została zgłoszona za pośrednictwem platformy Huntr (program bug bounty). Szczegóły dostępne pod adresem: huntr.com/bounties/e242a92e-da41-440d-b718-3de91e4b4eac.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lunary

    APP
    Lunary
    1.4.28
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-5352CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową

CVE-2024-7456CRITICAL9.8PL ✓ten sam produkt

SQL Injection w trasie /api/v1/external-users aplikacji Lunary

CVE-2024-7475CRITICAL9.1PL ✓ten sam produkt

Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)

CVE-2024-4146CRITICAL9.8PL ✓ten sam produkt

Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów

CVE-2024-5328CRITICAL9.3PL ✓ten sam produkt

SSRF w Lunary – nieautoryzowane żądania przez endpoint SAML IdP