PT-2025-12258 · Unknown · Lunary-Ai/Lunary

Publicado

2025-03-20

Atualizado

2025-03-22

CVE-2024-8999

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versão v1.4.25

Descrição O problema consiste em uma vulnerabilidade de controle de acesso inadequado no endpoint "POST /api/v1/data-warehouse/bigquery". Isso permite que qualquer usuário exporte a totalidade dos dados do banco de dados ao criar um stream para o Google BigQuery sem autenticação ou autorização adequadas.

Recomendações Para lunary-ai/lunary versão v1.4.25, atualize para a versão 1.4.26 para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint "POST /api/v1/data-warehouse/bigquery" até que a atualização seja aplicada.

Exploit

Correção

Improper Access Control

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-862

Identificadores relacionados

CVE-2024-8999

Produtos afetados

Lunary-Ai/Lunary

PT-2025-12258 · Unknown · Lunary-Ai/Lunary

CVE-2024-8999

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5