CVE-2026-44444
KrytyczneStreszczenie
Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała lukę w rozszerzeniu Spindle. Wykonywanie polecenia 'bun install' bez flagi --ignore-scripts umożliwia złośliwym rozszerzeniom uruchomienie kodu na poziomie hosta w momencie instalacji przez administratora.
Ocena ryzyka
Organizacje mogą być narażone na złośliwe oprogramowanie, które może zostać uruchomione na serwerze, co prowadzi do potencjalnej utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację aplikacji Lumiverse do wersji 0.9.7 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Lumiverse is a full-featured AI chat application. Prior to 0.9.7, the Spindle extension build pipeline calls bun install without the --ignore-scripts flag before running the static backend safety scan (assertSafeBackendBundle). A malicious extension that ships a package.json with a preinstall, postinstall, or prepare lifecycle script achieves host-level code execution the moment an admin presses Install before any dist file is inspected. This vulnerability is fixed in 0.9.7.

