CRITICAL🇬🇧 English

CVE-2024-7475

Lunary: brak kontroli dostępu do konfiguracji SAML (nieautoryzowana zmiana)

CVSS 9.1v3.1pub. 2024-10-29upd. 2025-10-15

W aplikacji Lunary w wersji 1.3.2 wykryto podatność polegającą na braku właściwej kontroli dostępu do konfiguracji SAML. Atakujący bez uwierzytelnienia może zmodyfikować ustawienia SAML, co prowadzi do przejęcia kontroli nad procesem uwierzytelniania użytkowników.

Pokaż oryginał (EN)

An improper access control vulnerability in lunary-ai/lunary version 1.3.2 allows an attacker to update the SAML configuration without authorization. This vulnerability can lead to manipulation of authentication processes, fraudulent login requests, and theft of user information. Appropriate access controls should be implemented to ensure that the SAML configuration can only be updated by authorized users.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji mechanizmu kontroli dostępu (CWE-862 — brak wymaganej autoryzacji). Endpoint umożliwiający aktualizację konfiguracji SAML nie weryfikuje, czy żądanie pochodzi od uprawnionego użytkownika. W konsekwencji dowolny atakujący z dostępem sieciowym może wysłać żądanie modyfikacji konfiguracji SAML bez konieczności posiadania jakichkolwiek poświadczeń. Pozwala to na podstawienie złośliwego dostawcy tożsamości (IdP) lub manipulację parametrami uwierzytelniania.

Skutki

Atakujący może manipulować procesem uwierzytelniania, generować fałszywe żądania logowania oraz wykradać informacje o użytkownikach. W skrajnym przypadku możliwe jest całkowite przejęcie mechanizmu logowania opartego na SAML i uzyskanie nieautoryzowanego dostępu do kont użytkowników.

Mitygacja

Należy zaktualizować Lunary do wersji zawierającej poprawkę dostępną w repozytorium GitHub (commit 8f563c77d8614a72980113f530c7a9ec15a5f8d5). Należy zastosować patche dostępne u producenta zgodnie z referencjami oraz upewnić się, że endpoint aktualizacji konfiguracji SAML jest dostępny wyłącznie dla autoryzowanych administratorów.

Kogo dotyczy

Lunary (lunary-ai/lunary) w wersji 1.3.2

Uwagi

Podatność została zgłoszona za pośrednictwem platformy HuntrBug Bounty (huntr.com). Poprawka jest dostępna jako konkretny commit w repozytorium GitHub producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Lunary

    APP
    Lunary
    < 1.3.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-5352CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Lunary — wstrzyknięcie skryptu przez zmienną środowiskową

CVE-2024-9095CRITICAL9.8PL ✓ten sam produkt

Brak kontroli dostępu w API BigQuery — eksport całej bazy danych w Lunary

CVE-2024-7456CRITICAL9.8PL ✓ten sam produkt

SQL Injection w trasie /api/v1/external-users aplikacji Lunary

CVE-2024-4146CRITICAL9.8PL ✓ten sam produkt

Błąd autoryzacji w Lunary umożliwiający pełny dostęp do projektów

CVE-2024-5328CRITICAL9.3PL ✓ten sam produkt

SSRF w Lunary – nieautoryzowane żądania przez endpoint SAML IdP