Apa yang terjadi
Kelemahan dalam kortix-ai/suna hingga versi 0.8.38 memungkinkan Cross-Site Scripting (XSS) melalui manipulasi argumen returnURL dalam fungsi router.replace/router.push dari apps/frontend/src/app/auth/page.tsx (Titik Akhir Auth). CVSS 4.3 Medium; diterbitkan 2026-06-21.
Mengapa penting
Suna adalah platform AI agentic sumber terbuka. XSS yang dicerminkan di titik akhir auth dapat digunakan untuk membajak sesi pengguna yang terauthentikasi, mengarahkan ulang pengguna ke halaman yang dikendalikan penyerang setelah login, atau menyuntikkan skrip berbahaya ke antarmuka manajemen agen — memungkinkan pencurian sesi yang dapat dimanfaatkan untuk mengambil alih konfigurasi agen AI atau mengeksfiltrasi data yang diproses oleh agen.
Vektor serangan
Penyerang merancang URL berbahaya yang berisi parameter returnURL yang senjata dan membujuk pengguna yang terauthentikasi untuk mengunjunginya, menyebabkan eksekusi skrip di browser korban dalam konteks auth Suna.
Sistem yang terdampak
kortix-ai/suna ≤ 0.8.38
Mitigasi
Upgrade suna ke versi di luar 0.8.38. NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-12811