CRITICAL🇬🇧 English

CVE-2025-54428

RevelaCode: Wyciek danych uwierzytelniających MongoDB Atlas w repozytorium

CVSS 9.8v3.1pub. 2025-07-28upd. 2026-04-15

W projekcie RevelaCode (wersje poniżej 1.0.1) dane uwierzytelniające do bazy danych MongoDB Atlas (login i hasło) zostały przypadkowo umieszczone w publicznym repozytorium kodu. Każda osoba mająca dostęp do repozytorium mogła uzyskać nieautoryzowany dostęp do produkcyjnej lub testowej bazy danych.

Pokaż oryginał (EN)

RevelaCode is an AI-powered faith-tech project that decodes biblical verses, prophecies and global events into accessible language. In versions below 1.0.1, a valid MongoDB Atlas URI with embedded username and password was accidentally committed to the public repository. This could allow unauthorized access to production or staging databases, potentially leading to data exfiltration, modification, or deletion. This is fixed in version 1.0.1. Workarounds include: immediately rotating credentials for the exposed database user, using a secret manager (like Vault, Doppler, AWS Secrets Manager, etc.) instead of storing secrets directly in code, or auditing recent access logs for suspicious activity.

🤖 Analiza AI
Jak działa

Programista przypadkowo zatwierdził (commit) plik zawierający pełny URI połączenia z MongoDB Atlas wraz z osadzonymi danymi uwierzytelniającymi (nazwą użytkownika i hasłem) bezpośrednio w kodzie źródłowym publicznego repozytorium. Każda osoba, która odkryła ten wpis w historii repozytorium, mogła użyć tych danych do bezpośredniego połączenia z bazą danych bez żadnej dodatkowej autoryzacji. Podatność sklasyfikowana jest jako CWE-522 (Insufficiently Protected Credentials), czyli niewystarczające zabezpieczenie poświadczeń.

Skutki

Atakujący posiadający wyciecznięte dane uwierzytelniające może uzyskać nieautoryzowany dostęp do bazy danych i przeprowadzić eksfiltrację, modyfikację lub usunięcie przechowywanych danych.

Mitygacja

Należy zaktualizować RevelaCode do wersji 1.0.1. Dodatkowo producent zaleca: natychmiastową rotację danych uwierzytelniających dla ujawnionego użytkownika bazy danych, przeniesienie sekretów do menedżera poświadczeń (np. Vault, Doppler, AWS Secrets Manager) zamiast przechowywania ich bezpośrednio w kodzie oraz przegląd logów dostępu do bazy danych pod kątem podejrzanej aktywności.

Kogo dotyczy

RevelaCode Backend w wersjach poniżej 1.0.1

Uwagi

Mimo oceny CVSS 9.8 (CRITICAL), podatność dotyczy stosunkowo niszowego projektu open-source. Rotacja danych uwierzytelniających jest pilniejsza niż sama aktualizacja kodu, ponieważ historyczne commity mogą pozostać dostępne nawet po poprawce. Podatność zgłoszona przez GitHub Security Advisory GHSA-m253-qvcr-cr48.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-54428 — RevelaCode: Wyciek danych uwierzytelniających MongoDB Atlas w repozytorium — CRITICAL 9.8 | CVEbaza.pl