CVE-2025-5352 in lunary
Tóm tắt
Bởi VulDB • 10/07/2026
Một lỗ hổng Cross-Site Scripting (XSS) lưu trữ nghiêm trọng tồn tại trong thành phần Analytics của lunary-ai/lunary các phiên bản từ 1.0 đến 1.9.23, nơi biến môi trường NEXT_PUBLIC_CUSTOM_SCRIPT được đưa trực tiếp vào DOM bằng cách sử dụng dangerouslySetInnerHTML mà không có bất kỳ quá trình kiểm tra tính hợp lệ (sanitization) hay xác thực nào. Điều này cho phép thực thi mã JavaScript tùy ý trên trình duyệt của tất cả người dùng nếu kẻ tấn công có thể kiểm soát biến môi trường trong quá trình triển khai hoặc thông qua việc chiếm quyền điều khiển máy chủ. Lỗ hổng này có thể dẫn đến tình trạng đánh cắp tài khoản hoàn toàn, trích xuất dữ liệu, phân phối phần mềm độc hại và các cuộc tấn công tồn tại lâu dài ảnh hưởng đến tất cả người dùng cho đến khi biến môi trường được làm sạch. Vấn đề đã được khắc phục trong phiên bản 1.9.25.
If you want to get best quality of vulnerability data, you may have to visit VulDB.