CVE-2025-5352 in lunarythông tin

Tóm tắt

Bởi VulDB • 10/07/2026

Một lỗ hổng Cross-Site Scripting (XSS) lưu trữ nghiêm trọng tồn tại trong thành phần Analytics của lunary-ai/lunary các phiên bản từ 1.0 đến 1.9.23, nơi biến môi trường NEXT_PUBLIC_CUSTOM_SCRIPT được đưa trực tiếp vào DOM bằng cách sử dụng dangerouslySetInnerHTML mà không có bất kỳ quá trình kiểm tra tính hợp lệ (sanitization) hay xác thực nào. Điều này cho phép thực thi mã JavaScript tùy ý trên trình duyệt của tất cả người dùng nếu kẻ tấn công có thể kiểm soát biến môi trường trong quá trình triển khai hoặc thông qua việc chiếm quyền điều khiển máy chủ. Lỗ hổng này có thể dẫn đến tình trạng đánh cắp tài khoản hoàn toàn, trích xuất dữ liệu, phân phối phần mềm độc hại và các cuộc tấn công tồn tại lâu dài ảnh hưởng đến tất cả người dùng cho đến khi biến môi trường được làm sạch. Vấn đề đã được khắc phục trong phiên bản 1.9.25.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

@huntr Ai

Đặt trước

30/05/2025

Tiết lộ

23/08/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00458

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!