Katalog CVE

CVE-2025-68669

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.

Ocena ryzyka

Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów korzystających z tej aplikacji. Atakujący może wykorzystać tę lukę do wstrzyknięcia złośliwego kodu.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji 5ire, w której ta podatność została naprawiona. Należy również rozważyć ograniczenie użycia wtyczki markdown-it-mermaid w wersjach, które nie są zabezpieczone.

Oryginalny opis (angielski, źródło NVD)

5ire is a cross-platform desktop artificial intelligence assistant and model context protocol client. In versions 0.15.2 and prior, an RCE vulnerability exists in useMarkdown.ts, where the markdown-it-mermaid plugin is initialized with securityLevel: 'loose'. This configuration explicitly permits the rendering of HTML tags within Mermaid diagram nodes. This issue has not been patched at time of publication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS