CVE-2025-9803

Nome do Software Vulnerável e Versões Afetadas lunary-ai/lunary versões anteriores à 1.9.35

Descrição A aplicação está suscetível à tomada de conta devido a uma autenticação falha na integração com o OAuth do Google. Especificamente, a aplicação não valida o campo aud (audiência) presente no token de acesso fornecido pelo Google. O campo aud confirma o destinatário previsto do token, e a falta de sua verificação permite que atacantes utilizem tokens emitidos para aplicações maliciosas para obter acesso não autorizado a contas de usuário. O componente vulnerável é o processo de integração com o OAuth do Google.

Recomendações As versões do lunary-ai/lunary anteriores à 1.9.35 devem ser atualizadas para a versão 1.9.35 ou posterior.