CVE-2025-66562
CriticalSummary
W Tuui, kliencie MCP, przed wersją 1.3.4 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną luką Cross-Site Scripting (XSS) w komponencie renderującym Markdown. Luka ta pozwala na wykonanie dowolnego kodu JavaScript w blokach kodu ECharts.
Risk Assessment
Atakujący może wykonać dowolne polecenia systemowe na maszynie ofiary, wystarczy, że ofiara wyświetli złośliwą wiadomość Markdown. To stwarza poważne zagrożenie dla bezpieczeństwa systemów, w których zainstalowano Tuui.
Recommendation
Zaleca się aktualizację Tuui do wersji 1.3.4 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do interfejsu IPC, aby zminimalizować ryzyko wykorzystania tej luki.
Original NVD description (English source)
TUUI is a desktop MCP client designed as a tool unitary utility integration. Prior to 1.3.4, a critical Remote Code Execution (RCE) vulnerability exists in Tuui due to an unsafe Cross-Site Scripting (XSS) flaw in the Markdown rendering component. Tuui allows the execution of arbitrary JavaScript within ECharts code blocks. Combined with an exposed IPC interface that allows spawning processes, an attacker can execute arbitrary system commands on the victim's machine simply by having them view a malicious Markdown message. This vulnerability is fixed in 1.3.4.

