Katalog CVE

CVE-2026-44451

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała system nadpisywania komponentów, który mógł być obejściem. Użytkownicy mogli dostarczać kod TSX, który był przetwarzany i mógł uzyskać dostęp do niebezpiecznych globalnych obiektów, takich jak fetch czy window.

Ocena ryzyka

Organizacja jest narażona na ataki, które mogą prowadzić do nieautoryzowanego dostępu do DOM oraz potencjalnego wycieku danych, gdy złośliwy pakiet tematyczny zostanie zaimportowany przez ofiarę.

Rekomendacja

Zaleca się aktualizację Lumiverse do wersji 0.9.7 lub nowszej oraz wprowadzenie dodatkowych kontroli bezpieczeństwa przy importowaniu pakietów tematycznych.

Oryginalny opis (angielski, źródło NVD)

Lumiverse is a full-featured AI chat application. Prior to 0.9.7, the component override system transpiles user-supplied TSX via Sucrase and evaluates it with new Function, shadowing dangerous globals (fetch, window, eval, etc.) with undefined. A static source validator (validateComponentOverrideSource) additionally blocks these identifiers by word-boundary regex. Both controls are bypassed. String-split bypass of the static validator: any blocked identifier can be reconstructed at runtime from string fragments ('ownerDoc' + 'ument'). DOM ref escape from the sandbox: useRef and useEffect are provided in scope. A ref attached to a rendered element gives a live DOM node. From any real DOM node, node['ownerDoc'+'ument']['def'+'aultView'] yields the real window, bypassing all identifier shadows. Theme packs (.lumitheme / .lumiverse-theme) are the shareable delivery mechanism. A malicious pack is an exploit path: the victim imports the file, enables one component override in the Theme Edito

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS