Vulnerabilidad en lunary-ai/lunary (CVE-2024-9095)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-285
Autorización incorrecta
Fecha de publicación:
20/03/2025
Última modificación:
29/04/2025
Descripción
En la versión 1.4.28 de lunary-ai/lunary, la ruta de la API /bigquery carece de un control de acceso adecuado, lo que permite a cualquier usuario conectado crear un flujo de datos a Google BigQuery y exportar la base de datos completa. Esto incluye datos confidenciales como hashes de contraseñas y claves API secretas. La ruta está protegida por una comprobación de configuración (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), pero no verifica el nivel de acceso del usuario ni implementa ningún middleware de control de acceso. Esta vulnerabilidad puede provocar la extracción de datos confidenciales, la interrupción de los servicios, la vulneración de credenciales y la violación de la integridad del servicio.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:lunary:lunary:1.4.28:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página