CVE-2025-5352 in lunaryinformation

Résumé

par VulDB • 03/07/2026

Une vulnérabilité critique de type Cross-Site Scripting (XSS) stocké existe dans le composant Analytics des versions lunary-ai/lunary jusqu'à la 1.9.23, où la variable d'environnement NEXT_PUBLIC_CUSTOM_SCRIPT est directement injectée dans le DOM via dangerouslySetInnerHTML sans aucune sanitization ou validation. Cela permet l'exécution de code JavaScript arbitraire dans les navigateurs de tous les utilisateurs si un attaquant peut contrôler la variable d'environnement lors du déploiement ou par compromission du serveur. La vulnérabilité peut entraîner une prise de contrôle complète des comptes, l'exploitation (exfiltration) de données, la distribution de logiciels malveillants et des attaques persistantes affectant tous les utilisateurs jusqu'à ce que la variable d'environnement soit nettoyée. Le problème est corrigé dans la version 1.9.25.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

@huntr Ai

Réserver

30/05/2025

Divulgation

23/08/2025

Modérer

accepté

Entrée

VDB-321211

CPE

prêt

EPSS

0.00458

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!