CVE-2024-9095 in lunary정보

요약

\~에 의해 VulDB • 2026. 05. 21.

lunary-ai/lunary 버전 v1.4.28에서 /bigquery API 라우트에 적절한 접근 제어(access control)가 누락되어, 로그인한 모든 사용자가 Google BigQuery로의 Datastream 생성 및 전체 데이터베이스 내보내기를 수행할 수 있습니다. 여기에는 비밀번호 해시 및 비밀 API 키와 같은 민감한 데이터가 포함됩니다. 해당 라우트는 구성 확인(`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`)으로 보호되지만, 사용자의 접근 수준을 확인하거나 접근 제어 미들웨어를 구현하지 않습니다. 이 취약점으로 인해 민감한 데이터 추출, 서비스 중단, 자격 증명 유출 및 서비스 무결성 침해가 발생할 수 있습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

@huntr Ai

예약하다

2024. 09. 22.

모더레이션

수락

항목

VDB-300305

EPSS

0.00678

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!