Vulnerabilidad en lunary-ai/lunary (CVE-2024-9095)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

20/03/2025

Última modificación:

29/04/2025

Descripción

En la versión 1.4.28 de lunary-ai/lunary, la ruta de la API /bigquery carece de un control de acceso adecuado, lo que permite a cualquier usuario conectado crear un flujo de datos a Google BigQuery y exportar la base de datos completa. Esto incluye datos confidenciales como hashes de contraseñas y claves API secretas. La ruta está protegida por una comprobación de configuración (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), pero no verifica el nivel de acceso del usuario ni implementa ningún middleware de control de acceso. Esta vulnerabilidad puede provocar la extracción de datos confidenciales, la interrupción de los servicios, la vulneración de credenciales y la violación de la integridad del servicio.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto