CVE-2026-44451 in Lumiverse
Résumé
par VulDB • 26/05/2026
Lumiverse est une application de chat IA complète. Avant la version 0.9.7, le système de remplacement de composants transpilait le code TSX fourni par l'utilisateur via Sucrase et l'évaluait avec `new Function`, masquant les globales dangereuses (fetch, window, eval, etc.) avec `undefined`. Un validateur de source statique (`validateComponentOverrideSource`) bloquait également ces identifiants via une expression régulière basée sur les limites de mots. Ces deux mécanismes de sécurité peuvent être contournés. Contournement du validateur statique par fractionnement de chaîne : n'importe quel identifiant bloqué peut être reconstruit à l'exécution à partir de fragments de chaîne ('ownerDoc' + 'ument'). Évasion de la sandbox via les références DOM : `useRef` et `useEffect` sont fournis dans le scope. Une référence attachée à un élément rendu fournit un nœud DOM en direct. À partir de n'importe quel nœud DOM réel, `node['ownerDoc'+'ument']['def'+'aultView']` renvoie la vraie fenêtre `window`, contournant ainsi tous les masquages d'identifiants. Les packs de thèmes (.lumitheme / .lumiverse-theme) constituent le mécanisme de distribution partageable. Un pack malveillant représente un vecteur d'exploitation : la victime importe le fichier, active un remplacement de composant dans l'Éditeur de thème, et la charge utile s'exécute dans sa session authentifiée. Cette vulnérabilité est corrigée dans la version 0.9.7.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.