事件经过
ToolJet 3.20.1780-lts 之前的版本暴露一个 POST /api/data-sources/decrypt 端点,该端点将存储的凭证解密并以明文返回给任何已认证的调用者,而无需验证调用者是否有权限访问所引用的 credential_id。任何 ToolJet 账户的攻击者可以枚举和提取所有跨所有 AI 代理数据源使用的存储 API 密钥、数据库密码和服务凭证。
影响分析
ToolJet 存储所有连接到 AI 代理工作流的数据源的凭证 — 数据库、API、云服务、AI 提供商密钥。无限制的明文凭证解密实际上使任何已认证用户拥有整个平台机密存储的主密钥转储,实现所有下游 AI 基础设施和数据源的完整妥协。
攻击途径
任何已认证用户都可以调用 POST /api/data-sources/decrypt 端点,带任意 credential_id,并接收该凭证的明文解密值。没有授权检查确认调用者拥有或有权限访问所引用的凭证。这允许系统地枚举和提取所有存储的机密。
受影响系统
ToolJet < 3.20.1780-lts
缓解措施
升级到 ToolJet 3.20.1780-lts。公告:https://github.com/ToolJet/ToolJet/security/advisories/GHSA-x7qj-hfg8-p4cw