Plataforma
javascript
Componente
lunary-ai/lunary
Corregido en
1.9.24
La vulnerabilidad CVE-2025-4779 es una falla de Cross-Site Scripting (XSS) almacenado que afecta a las versiones de lunary-ai/lunary anteriores a 1.9.24. Un atacante no autenticado puede inyectar código JavaScript malicioso, comprometiendo la seguridad de los usuarios. Esta vulnerabilidad permite la ejecución de código arbitrario en el navegador del usuario, con graves consecuencias. La solución es actualizar a la versión 1.9.24.
Esta vulnerabilidad de XSS almacenado en lunary-ai/lunary permite a un atacante inyectar scripts maliciosos que se ejecutan en el contexto del navegador de la víctima. El atacante puede explotar esta falla inyectando código JavaScript en el endpoint v1/runs/ingest al agregar un campo citations vacío. El uso de dangerouslySetInnerHTML para renderizar texto controlado por el atacante es la causa raíz. El impacto potencial incluye el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación de contenido web y, en última instancia, el control total sobre la cuenta del usuario afectado. La severidad crítica de la vulnerabilidad subraya la necesidad de una mitigación inmediata.
Actualmente no hay información disponible sobre campañas de explotación activas relacionadas con CVE-2025-4779. La vulnerabilidad fue publicada el 2025-07-07. No se ha listado en el KEV de CISA al momento de la redacción. La disponibilidad de un PoC público podría aumentar el riesgo de explotación, por lo que se recomienda monitorear las fuentes de seguridad para obtener actualizaciones.
Organizations utilizing lunary-ai/lunary in production environments, particularly those with public-facing instances of the v1/runs/ingest endpoint, are at risk. Applications that rely on the lunary library for data ingestion and processing are also potentially vulnerable.
• javascript: Inspect the application's JavaScript code for instances of dangerouslySetInnerHTML being used with unsanitized user input. Look for patterns where data from the v1/runs/ingest endpoint is directly rendered without proper escaping.
• generic web: Monitor access logs for requests to v1/runs/ingest with empty citations fields.
grep 'v1/runs/ingest\?citations=' access.logdisclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-4779 es actualizar lunary-ai/lunary a la versión 1.9.24 o superior, que corrige la vulnerabilidad de XSS. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento estrictos de todas las entradas de usuario en el endpoint v1/runs/ingest. Además, se pueden utilizar políticas de seguridad de contenido (CSP) para restringir las fuentes de JavaScript que se pueden ejecutar en la aplicación, reduciendo el impacto potencial de un ataque XSS exitoso. Después de la actualización, confirme la mitigación revisando los registros de la aplicación en busca de intentos de inyección de código y verificando que el endpoint v1/runs/ingest no sea vulnerable.
Actualice lunary-ai/lunary a la versión 1.9.24 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS (Cross-Site Scripting). Puede actualizar el paquete utilizando npm o yarn según corresponda.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-4779 is a critical stored Cross-Site Scripting (XSS) vulnerability in lunary-ai/lunary versions up to 1.9.24, allowing attackers to inject malicious JavaScript.
You are affected if you are using lunary-ai/lunary versions prior to 1.9.24 and have the v1/runs/ingest endpoint exposed.
Upgrade to lunary-ai/lunary version 1.9.24 or later. Implement a WAF rule to block malicious requests as a temporary workaround.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest active exploitation is possible.
Refer to the official lunary-ai project repository and release notes for the latest advisory regarding CVE-2025-4779.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.