Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en lunary-ai/lunary (CVE-2024-9095)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-285 Autorización incorrecta
Fecha de publicación:
20/03/2025
Última modificación:
29/04/2025

Descripción

En la versión 1.4.28 de lunary-ai/lunary, la ruta de la API /bigquery carece de un control de acceso adecuado, lo que permite a cualquier usuario conectado crear un flujo de datos a Google BigQuery y exportar la base de datos completa. Esto incluye datos confidenciales como hashes de contraseñas y claves API secretas. La ruta está protegida por una comprobación de configuración (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), pero no verifica el nivel de acceso del usuario ni implementa ningún middleware de control de acceso. Esta vulnerabilidad puede provocar la extracción de datos confidenciales, la interrupción de los servicios, la vulneración de credenciales y la violación de la integridad del servicio.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lunary:lunary:1.4.28:*:*:*:*:*:*:*