CRITICAL🇬🇧 English

CVE-2024-4146

Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów

CVSS 9.8v3.1pub. 2024-06-08upd. 2024-11-21

W wersji v1.2.13 platformy lunary-ai/lunary istnieje podatność nieprawidłowej autoryzacji, która pozwala nieuprawnionym użytkownikom na dostęp i manipulację projektami w organizacji. Atakujący może uzyskać pełną kontrolę nad zasobami dowolnego projektu bez posiadania odpowiednich uprawnień.

Pokaż oryginał (EN)

In lunary-ai/lunary version v1.2.13, an incorrect authorization vulnerability exists that allows unauthorized users to access and manipulate projects within an organization they should not have access to. Specifically, the vulnerability is located in the `checkProjectAccess` method within the authorization middleware, which fails to adequately verify if a user has the correct permissions to access a specific project. Instead, it only checks if the user is part of the organization owning the project, overlooking the necessary check against the `account_project` table for explicit project access rights. This flaw enables attackers to gain complete control over all resources within a project, including the ability to create, update, read, and delete any resource, compromising the privacy and security of sensitive information.

🤖 Analiza AI
Jak działa

Podatność znajduje się w metodzie `checkProjectAccess` w middleware autoryzacyjnym. Mechanizm weryfikacji sprawdza jedynie, czy użytkownik należy do organizacji będącej właścicielem projektu, pomijając konieczne sprawdzenie tabeli `account_project` pod kątem jawnych praw dostępu do konkretnego projektu. Takie niepełne sprawdzenie uprawnień pozwala każdemu użytkownikowi danej organizacji na dostęp do projektów, do których formalnie nie powinien mieć dostępu.

Skutki

Atakujący uzyskuje pełną kontrolę nad wszystkimi zasobami projektu — może tworzyć, odczytywać, modyfikować i usuwać dowolne zasoby, co prowadzi do naruszenia poufności i integralności wrażliwych danych organizacji.

Mitygacja

Należy zastosować patch dostępny w repozytorium producenta (commit c43b6c62035f32ca455f66d5fd22ba661648cde7 na GitHub) oraz zaktualizować aplikację do wersji zawierającej poprawkę zgodnie z referencjami producenta.

Kogo dotyczy

Lunary (lunary-ai/lunary) w wersji v1.2.13

Uwagi

Podatność została zgłoszona i udokumentowana za pośrednictwem platformy huntr.com (bounty a749e696-b398-4260-b2d0-b0054b9fffa7). Poprawka dostępna jako commit c43b6c62035f32ca455f66d5fd22ba661648cde7 w repozytorium GitHub lunary-ai/lunary.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lunary

    APP
    Lunary
    1.2.13
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-5352CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową

CVE-2024-9095CRITICAL9.8PL ✓ten sam produkt

Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary

CVE-2024-7456CRITICAL9.8PL ✓ten sam produkt

SQL Injection w trasie /api/v1/external-users aplikacji Lunary

CVE-2024-7475CRITICAL9.1PL ✓ten sam produkt

Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)

CVE-2024-5328CRITICAL9.3PL ✓ten sam produkt

SSRF w Lunary – nieautoryzowane żądania przez endpoint SAML IdP