CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-68669

Critical
Published: Translated: NVD NIST

Summary

W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.

Risk Assessment

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów korzystających z tej aplikacji. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu.

Recommendation

Zaleca się aktualizację do najnowszej wersji 5ire, w której ta podatność została naprawiona. Należy również rozważyć ograniczenie użycia wtyczki markdown-it-mermaid w wersjach, które nie są zabezpieczone.

Original NVD description (English source)

5ire is a cross-platform desktop artificial intelligence assistant and model context protocol client. In versions 0.15.2 and prior, an RCE vulnerability exists in useMarkdown.ts, where the markdown-it-mermaid plugin is initialized with securityLevel: 'loose'. This configuration explicitly permits the rendering of HTML tags within Mermaid diagram nodes. This issue has not been patched at time of publication.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS