Wtyczka ESLint o nazwie eslint-ban-moment w wersji 3.0.0 i wcześniejszych zawiera w repozytorium plik .env z ujawnionym, w pełni funkcjonalnym adresem URI Supabase zawierającym zakodowaną nazwę użytkownika i hasło. Podatność jest krytyczna, ponieważ umożliwia każdemu nieuwierzytelnionemu atakującemu pełny dostęp do bazy danych i danych użytkowników.
▸ Pokaż oryginał (EN)
eslint-ban-moment is an Eslint plugin for final assignment in VIHU. In 3.0.0 and earlier, a sensitive Supabase URI is exposed in .env. A valid Supabase URI with embedded username and password will allow an attacker complete unauthorized access and control over database and user data. This could lead to data exfiltration, modification or deletion.
W repozytorium projektu został popełniony błąd polegający na umieszczeniu pliku .env zawierającego wrażliwy adres URI Supabase bezpośrednio w kodzie źródłowym (CWE-260 — Password in Configuration File). Adres URI zawiera osadzone dane uwierzytelniające (nazwę użytkownika i hasło), które są publicznie dostępne dla każdej osoby mającej dostęp do repozytorium. Atakujący może bezpośrednio użyć tych danych do uwierzytelnienia się w instancji Supabase bez żadnej dodatkowej interakcji z ofiarą.
Atakujący uzyskuje pełną, nieautoryzowaną kontrolę nad bazą danych Supabase oraz danymi użytkowników, co może prowadzić do exfiltracji, modyfikacji lub trwałego usunięcia danych.
Należy natychmiast unieważnić (zrotować) ujawnione dane uwierzytelniające Supabase — zmiana kodu aplikacji bez unieważnienia danych nie eliminuje zagrożenia, ponieważ historia repozytorium może nadal zawierać wrażliwe informacje. Należy zastosować patche dostępne u producenta zgodnie z referencjami (commit bc2d2f9d23e6ae961a23e0d769e0722870b11108). Rekomenduje się przegląd historii Git pod kątem innych ujawnionych sekretów oraz wdrożenie narzędzi do wykrywania sekretów w pipeline CI/CD.
eslint-ban-moment w wersji 3.0.0 oraz wszystkich wcześniejszych wersjach
Podatność dotyczy projektu będącego wtyczką ESLint tworzoną na potrzeby zaliczenia kursu (VIHU). Mimo akademickiego charakteru projektu, ujawnione dane uwierzytelniające mogą być nadal aktywne i stwarzać realne zagrożenie do czasu ich unieważnienia.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H