CVE-2025-68669
CriticalSummary
W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.
Risk Assessment
Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów korzystających z tej aplikacji. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu.
Recommendation
Zaleca się aktualizację do najnowszej wersji 5ire, w której ta podatność została naprawiona. Należy również rozważyć ograniczenie użycia wtyczki markdown-it-mermaid w wersjach, które nie są zabezpieczone.
Original NVD description (English source)
5ire is a cross-platform desktop artificial intelligence assistant and model context protocol client. In versions 0.15.2 and prior, an RCE vulnerability exists in useMarkdown.ts, where the markdown-it-mermaid plugin is initialized with securityLevel: 'loose'. This configuration explicitly permits the rendering of HTML tags within Mermaid diagram nodes. This issue has not been patched at time of publication.

