Katalog CVE

CVE-2025-66562

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Tuui, kliencie MCP, przed wersją 1.3.4 występuje krytyczna podatność na zdalne wykonanie kodu (RCE) spowodowana niebezpieczną luką Cross-Site Scripting (XSS) w komponencie renderującym Markdown. Luka ta pozwala na wykonanie dowolnego kodu JavaScript w blokach kodu ECharts.

Ocena ryzyka

Atakujący może wykonać dowolne polecenia systemowe na maszynie ofiary, wystarczy, że ofiara wyświetli złośliwą wiadomość Markdown. To stwarza poważne zagrożenie dla bezpieczeństwa systemów, w których zainstalowano Tuui.

Rekomendacja

Zaleca się aktualizację Tuui do wersji 1.3.4 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i ograniczać dostęp do interfejsu IPC, aby zminimalizować ryzyko wykorzystania tej luki.

Oryginalny opis (angielski, źródło NVD)

TUUI is a desktop MCP client designed as a tool unitary utility integration. Prior to 1.3.4, a critical Remote Code Execution (RCE) vulnerability exists in Tuui due to an unsafe Cross-Site Scripting (XSS) flaw in the Markdown rendering component. Tuui allows the execution of arbitrary JavaScript within ECharts code blocks. Combined with an exposed IPC interface that allows spawning processes, an attacker can execute arbitrary system commands on the victim's machine simply by having them view a malicious Markdown message. This vulnerability is fixed in 1.3.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS