CRITICAL🇬🇧 English

CVE-2025-57754

Ujawnienie danych uwierzytelniających Supabase w pliku .env — eslint-ban-moment

CVSS 9.8v3.1pub. 2025-08-21upd. 2026-04-15

Wtyczka ESLint o nazwie eslint-ban-moment w wersji 3.0.0 i wcześniejszych zawiera w repozytorium plik .env z ujawnionym, w pełni funkcjonalnym adresem URI Supabase zawierającym zakodowaną nazwę użytkownika i hasło. Podatność jest krytyczna, ponieważ umożliwia każdemu nieuwierzytelnionemu atakującemu pełny dostęp do bazy danych i danych użytkowników.

Pokaż oryginał (EN)

eslint-ban-moment is an Eslint plugin for final assignment in VIHU. In 3.0.0 and earlier, a sensitive Supabase URI is exposed in .env. A valid Supabase URI with embedded username and password will allow an attacker complete unauthorized access and control over database and user data. This could lead to data exfiltration, modification or deletion.

🤖 Analiza AI
Jak działa

W repozytorium projektu został popełniony błąd polegający na umieszczeniu pliku .env zawierającego wrażliwy adres URI Supabase bezpośrednio w kodzie źródłowym (CWE-260 — Password in Configuration File). Adres URI zawiera osadzone dane uwierzytelniające (nazwę użytkownika i hasło), które są publicznie dostępne dla każdej osoby mającej dostęp do repozytorium. Atakujący może bezpośrednio użyć tych danych do uwierzytelnienia się w instancji Supabase bez żadnej dodatkowej interakcji z ofiarą.

Skutki

Atakujący uzyskuje pełną, nieautoryzowaną kontrolę nad bazą danych Supabase oraz danymi użytkowników, co może prowadzić do exfiltracji, modyfikacji lub trwałego usunięcia danych.

Mitygacja

Należy natychmiast unieważnić (zrotować) ujawnione dane uwierzytelniające Supabase — zmiana kodu aplikacji bez unieważnienia danych nie eliminuje zagrożenia, ponieważ historia repozytorium może nadal zawierać wrażliwe informacje. Należy zastosować patche dostępne u producenta zgodnie z referencjami (commit bc2d2f9d23e6ae961a23e0d769e0722870b11108). Rekomenduje się przegląd historii Git pod kątem innych ujawnionych sekretów oraz wdrożenie narzędzi do wykrywania sekretów w pipeline CI/CD.

Kogo dotyczy

eslint-ban-moment w wersji 3.0.0 oraz wszystkich wcześniejszych wersjach

Uwagi

Podatność dotyczy projektu będącego wtyczką ESLint tworzoną na potrzeby zaliczenia kursu (VIHU). Mimo akademickiego charakteru projektu, ujawnione dane uwierzytelniające mogą być nadal aktywne i stwarzać realne zagrożenie do czasu ich unieważnienia.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje