CVE-2025-0281

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versões 1.6.7 e anteriores

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado, permitindo que um atacante injete JavaScript malicioso nos metadados XML do IdP SAML. Esses metadados são usados para gerar a URL de redirecionamento de login SAML, que é então definida como o valor de window.location.href sem validação ou sanitização adequadas. Isso permite que o atacante execute JavaScript arbitrário no contexto do navegador do usuário, potencialmente levando ao sequestro de sessão, roubo de dados ou outras ações maliciosas.

Recomendações Para as versões 1.6.7 e anteriores, atualize para a versão 1.7.10 para resolver o problema. Como solução alternativa temporária, considere validar e sanitizar a URL de redirecionamento de login SAML para prevenir a execução de JavaScript malicioso. Restrinja o acesso aos metadados XML do IdP SAML para minimizar o risco de exploração. Evite usar a propriedade window.location.href com entrada não confiável até que o problema seja resolvido.