Plataforma
python
Componente
lunary-ai/lunary
Corregido en
1.9.35
La vulnerabilidad CVE-2025-9803 afecta a lunary AI en versiones anteriores o iguales a 1.9.35. Se trata de una falla de seguridad de tipo 'account takeover' causada por una incorrecta autenticación en la integración de Google OAuth. Esta vulnerabilidad permite a atacantes obtener acceso no autorizado a las cuentas de usuario, comprometiendo la confidencialidad y la integridad de los datos. La versión 1.9.35 resuelve este problema.
Un atacante puede explotar esta vulnerabilidad para robar las cuentas de usuario de lunary AI. Al no verificar correctamente el campo 'aud' (audience) en los tokens de acceso emitidos por Google, un atacante puede utilizar tokens obtenidos de aplicaciones maliciosas para hacerse pasar por un usuario legítimo. Esto permite el acceso a información personal, historial de actividad, y potencialmente a otros datos sensibles almacenados en la aplicación. El impacto se amplifica si lunary AI se utiliza para gestionar información confidencial o si los usuarios tienen cuentas vinculadas a otros servicios. La falta de autenticación adecuada abre la puerta a un amplio rango de ataques, incluyendo la suplantación de identidad y el acceso no autorizado a recursos.
La vulnerabilidad CVE-2025-9803 fue publicada el 25 de noviembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de 'account takeover' la convierte en un objetivo atractivo para atacantes. La falta de verificación del 'aud' es un error común en implementaciones de OAuth y ha sido explotado en otras vulnerabilidades similares. Se recomienda monitorear activamente los sistemas para detectar posibles intentos de explotación.
Organizations and individuals using lunary for AI-powered tasks and relying on Google OAuth for authentication are at risk. This includes users who have not yet upgraded to the latest version (1.9.35) and those who have not implemented additional security measures to mitigate the risk of account takeover.
• python / server: Examine lunary application logs for OAuth authentication attempts with invalid 'aud' values. Use Python's requests library to test the OAuth endpoint and verify 'aud' validation.
import requests
# Replace with your lunary instance URL
url = 'https://your-lunary-instance/oauth/token'
# Replace with your client ID and secret
client_id = 'your_client_id'
client_secret = 'your_client_secret'
# Malformed token
token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJleGFtcGxlIiwibmJmIjoxNjk4NzQ4ODAwLCJleHAiOjE2OTg3NzA4MDAsImlnaGxpZmViVXNlcm5hbWUiOiJodHRwczovL3dvc3RhbmQuZ2UiLCJzY29wZSI6WyJtYWljYWwtdG9rZW4uY29jkzsifQ.xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx'
headers = {'Content-Type': 'application/x-www-form-urlencoded'}
data = {'grant_type': 'urn:ietf:params:oauth:grant-type:jwt-bearer', 'assertion': token, 'client_id': client_id, 'client_secret': client_secret}
response = requests.post(url, headers=headers, data=data)
print(response.status_code)
print(response.text)• generic web: Monitor access logs for requests to the OAuth token endpoint with unusual parameters or user agents. Check for unusual patterns in OAuth authentication attempts.
disclosure
Estado del Exploit
EPSS
0.12% (31% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-9803 es actualizar lunary AI a la versión 1.9.35 o superior. Si la actualización causa problemas de compatibilidad, se recomienda evaluar la posibilidad de implementar una solución temporal, como restringir el acceso a la integración de Google OAuth a usuarios específicos o implementar un sistema de autenticación de dos factores (2FA) para agregar una capa adicional de seguridad. Es crucial revisar la configuración de OAuth y asegurar que la validación del 'aud' se realice correctamente. Después de la actualización, confirme que la validación del token de Google OAuth se realiza correctamente verificando los logs de la aplicación en busca de errores relacionados con la autenticación.
Actualice la biblioteca lunary-ai/lunary a la versión 1.9.35 o superior. Esta versión corrige la vulnerabilidad de autenticación OAuth de Google al verificar correctamente el campo 'aud' en los tokens de acceso. La actualización evitará la posible toma de control de cuentas por parte de atacantes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-9803 is a critical vulnerability in lunary versions ≤1.9.35 that allows attackers to take over user accounts due to improper Google OAuth authentication verification.
You are affected if you are using lunary version 1.9.35 or earlier and utilize Google OAuth for authentication.
Upgrade lunary to version 1.9.35 or later to resolve this vulnerability. If immediate upgrade is not possible, implement temporary workarounds like restricting access to sensitive functionalities.
There is currently no indication of active exploitation, but the vulnerability's nature suggests it is likely to be exploited in the future.
Refer to the official lunary security advisory for detailed information and updates: [https://lunary.ai/security/advisories](https://lunary.ai/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.