Plataforma
other
Componente
dyad
Corregido en
0.20.1
Se ha descubierto una vulnerabilidad de Ejecución Remota de Código (RCE) crítica en Dyad, un constructor de aplicaciones AI local. Esta falla, presente en versiones 0.19.0 y anteriores, permite a atacantes ejecutar código arbitrario en los sistemas de los usuarios. La vulnerabilidad reside en la funcionalidad de la ventana de vista previa y puede eludir las protecciones de los contenedores Docker, comprometiendo la seguridad del sistema. La solución es actualizar a Dyad v0.20.0 o posterior.
El impacto de esta vulnerabilidad es severo. Un atacante puede crear contenido web malicioso que se ejecuta automáticamente al cargar la ventana de vista previa de Dyad. Este contenido puede escapar de los límites de seguridad de la aplicación, otorgando al atacante control total sobre el sistema afectado. La capacidad de eludir las protecciones de Docker amplifica el riesgo, ya que los atacantes pueden explotar esta vulnerabilidad incluso en entornos que se consideran más seguros. La ejecución de código arbitrario permite la instalación de malware, el robo de datos confidenciales, la modificación de archivos del sistema y el movimiento lateral dentro de la red.
Esta vulnerabilidad ha sido publicada públicamente el 2025-09-17. La severidad CRÍTICA y la facilidad potencial de explotación sugieren un riesgo medio-alto de explotación activa. No se ha confirmado la explotación activa en campañas conocidas, pero la disponibilidad de la información sobre la vulnerabilidad aumenta la probabilidad de que se utilice en ataques dirigidos. La vulnerabilidad no figura en el KEV de CISA al momento de la redacción.
Developers and users of Dyad who are running versions 0.19.0 or earlier are at significant risk. This includes individuals using Dyad for local AI app development and organizations deploying Dyad within their development environments, particularly those utilizing containerization technologies where the bypass of container protections amplifies the potential impact.
• windows / supply-chain: Monitor PowerShell execution for suspicious commands related to Dyad's preview functionality. Check scheduled tasks for any unusual entries associated with Dyad.
Get-Process -Name Dyad | Select-Object -ExpandProperty Path• linux / server: Examine system logs (journalctl) for errors or unusual activity related to Dyad's preview process. Use lsof to identify any unexpected files or network connections associated with Dyad.
lsof -p $(pidof Dyad)• generic web: Monitor access logs for requests containing suspicious parameters or payloads targeting Dyad's preview endpoint. Inspect response headers for unexpected content or redirects.
disclosure
Estado del Exploit
EPSS
0.04% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Dyad a la versión 0.20.0 o posterior, que incluye la corrección para esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere realizar una reversión a una versión anterior segura (si está disponible) mientras se evalúa la actualización. Como medida temporal, se recomienda deshabilitar la funcionalidad de vista previa de Dyad si no es esencial. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad podría proporcionar una capa adicional de protección. Monitorear los registros del sistema en busca de actividad inusual relacionada con la ejecución de código en la ventana de vista previa.
Actualice Dyad a la versión 0.20.0 o posterior. Esta actualización corrige la vulnerabilidad de ejecución remota de código en la ventana de vista previa. La actualización se puede realizar descargando la última versión desde el sitio web oficial o utilizando el mecanismo de actualización integrado en la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58766 is a critical RCE vulnerability in Dyad AI App Builder versions 0.19.0 and earlier, allowing attackers to execute arbitrary code via crafted web content in the preview window.
Yes, if you are using Dyad version 0.19.0 or earlier, you are affected by this vulnerability and should upgrade immediately.
Upgrade Dyad to version 0.20.0 or later to resolve this vulnerability. If immediate upgrade is not possible, isolate Dyad instances and implement strict content security policies.
As of the publication date, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate action.
Refer to the official Dyad security advisory for detailed information and updates regarding CVE-2025-58766.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.