CVE-2026-44451 in Lumiverse
Сводка
по VulDB • 31.05.2026
Lumiverse — это полнофункциональное приложение для чата на базе искусственного интеллекта. До версии 0.9.7 система переопределения компонентов транслировала предоставленные пользователем файлы TSX с помощью Sucrase и оценивала их с помощью конструктора `new Function`, при этом опасные глобальные переменные (fetch, window, eval и т. д.) перекрывались значением `undefined`. Статический валидатор исходного кода (`validateComponentOverrideSource`) дополнительно блокировал эти идентификаторы с помощью регулярных выражений, учитывающих границы слов. Обе меры защиты были обойдены.
Обход статического валидатора с помощью разделения строк: любой заблокированный идентификатор может быть восстановлен во время выполнения из фрагментов строк (например, `'ownerDoc' + 'ument'`). Побег из песочницы через DOM-ссылки: в область видимости предоставляются `useRef` и `useEffect`. Ссылка (ref), прикрепленная к отрендеренному элементу, дает доступ к реальному узлу DOM. Из любого реального узла DOM выражение `node['ownerDoc'+'ument']['def'+'aultView']` возвращает настоящий объект `window`, обходя все перекрытия идентификаторов.
Тематические пакеты (`.lumitheme` / `.lumiverse-theme`) являются механизмом распространения. Злонамеренный пакет представляет собой путь для эксплуатации: жертва импортирует файл, включает одно переопределение компонента в редакторе тем, и вредоносный код выполняется в ее аутентифицированной сессии. Эта уязвимость исправлена в версии 0.9.7.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.