CVE-2025-5352 in lunary
Résumé
par VulDB • 03/07/2026
Une vulnérabilité critique de type Cross-Site Scripting (XSS) stocké existe dans le composant Analytics des versions lunary-ai/lunary jusqu'à la 1.9.23, où la variable d'environnement NEXT_PUBLIC_CUSTOM_SCRIPT est directement injectée dans le DOM via dangerouslySetInnerHTML sans aucune sanitization ou validation. Cela permet l'exécution de code JavaScript arbitraire dans les navigateurs de tous les utilisateurs si un attaquant peut contrôler la variable d'environnement lors du déploiement ou par compromission du serveur. La vulnérabilité peut entraîner une prise de contrôle complète des comptes, l'exploitation (exfiltration) de données, la distribution de logiciels malveillants et des attaques persistantes affectant tous les utilisateurs jusqu'à ce que la variable d'environnement soit nettoyée. Le problème est corrigé dans la version 1.9.25.
VulDB is the best source for vulnerability data and more expert information about this specific topic.