CVE-2024-9095

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versão v1.4.28

Descrição O problema está relacionado à falta de controle de acesso adequado na rota da API /bigquery, permitindo que qualquer usuário logado crie um Datastream para o Google BigQuery e exporte todo o banco de dados, incluindo dados sensíveis como hashes de senha e chaves de API secretas. A rota é protegida por uma verificação de configuração (config.DATA WAREHOUSE EXPORTS ALLOWED), mas não verifica o nível de acesso do usuário nem implementa nenhum middleware de controle de acesso. Isso pode levar à extração de dados sensíveis, interrupção de serviços, comprometimento de credenciais e violações de integridade do serviço.

Recomendações Para a versão v1.4.28, considere desativar a rota da API /bigquery até que o controle de acesso adequado seja implementado para prevenir exportações de dados não autorizadas. Além disso, restrinja o acesso a dados sensíveis, como hashes de senha e chaves de API secretas, para minimizar o risco de exploração. Implemente um middleware de controle de acesso para verificar o nível de acesso do usuário antes de permitir que ele crie um Datastream para o Google BigQuery.