Plataforma
other
Componente
dive
Corregido en
0.11.2
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada crítica en Dive, una aplicación de escritorio para integrar LLMs. Esta falla, presente en versiones anteriores a 0.11.1, reside en el componente de renderizado de diagramas Mermaid y permite la ejecución de código JavaScript arbitrario. La explotación exitosa puede llevar a la inyección de una configuración de servidor Model Context Protocol (MCP) maliciosa, resultando en la ejecución remota de código (RCE) en la máquina de la víctima al hacer clic en el nodo afectado. La versión 0.11.1 corrige esta vulnerabilidad.
La vulnerabilidad XSS en Dive es particularmente peligrosa debido a su potencial para la ejecución remota de código. Un atacante puede inyectar código JavaScript malicioso a través de la manipulación de diagramas Mermaid, que luego se renderizan en la aplicación Dive. Al hacer clic en un nodo afectado, la víctima ejecuta el código inyectado, permitiendo al atacante controlar la máquina. Esto podría incluir la descarga y ejecución de malware, el robo de credenciales o el acceso a datos sensibles. La capacidad de inyectar una configuración MCP maliciosa amplifica significativamente el impacto, ya que permite al atacante establecer un canal de comunicación persistente y controlar el entorno de la víctima de forma remota. La severidad de esta vulnerabilidad se asemeja a escenarios donde la manipulación de contenido renderizado conduce a la ejecución de código arbitrario, lo que la convierte en una amenaza de alta prioridad.
Esta vulnerabilidad ha sido publicada el 19 de diciembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS y su potencial para la ejecución remota de código sugieren que podría ser explotada en el futuro. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals utilizing Dive for integrating with function-calling LLMs are at risk. This includes developers, data scientists, and anyone relying on Dive for managing and interacting with LLM-based applications. Users who frequently handle external Mermaid diagrams or those with limited security awareness are particularly vulnerable.
• windows / supply-chain: Monitor Dive processes for unusual network connections or execution of unexpected scripts. Use Windows Defender to scan for malicious MCP server configurations.
Get-Process -Name Dive | Select-Object -ExpandProperty Path• generic web: Inspect network traffic for connections to suspicious MCP servers. Examine Dive's configuration files for signs of tampering. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability does not directly affect databases. • wordpress / composer / npm: N/A - This vulnerability does not directly affect these platforms. • linux / server: Monitor Dive processes for unusual network connections or execution of unexpected scripts. Examine system logs for errors related to Mermaid diagram rendering.
disclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66580 es actualizar Dive a la versión 0.11.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda limitar la capacidad de los usuarios para subir o modificar diagramas Mermaid. Implementar una validación estricta de la entrada del usuario, especialmente en lo que respecta a los datos utilizados para generar diagramas Mermaid, puede ayudar a prevenir la inyección de código malicioso. Aunque no es una solución completa, el uso de un Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de JavaScript en diagramas Mermaid puede proporcionar una capa adicional de protección. Verifique después de la actualización que los diagramas Mermaid se renderizan correctamente y que no se ejecutan scripts inesperados.
Actualice Dive a la versión 0.11.1 o posterior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) que permite la ejecución remota de código. La actualización evitará que un atacante inyecte configuraciones maliciosas del servidor MCP y comprometa su máquina.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66580 is a critical Stored Cross-Site Scripting (XSS) vulnerability in Dive versions prior to 0.11.1, allowing malicious JavaScript injection through Mermaid diagrams, potentially leading to RCE.
You are affected if you are using Dive version 0.11.1 or earlier. Upgrade to 0.11.1 to eliminate the vulnerability.
Upgrade Dive to version 0.11.1 or later. This version includes a fix for the XSS vulnerability.
While no public exploits are currently known, the vulnerability's severity and potential for RCE suggest a high likelihood of exploitation.
Refer to the official Dive project repository and associated security announcements for the latest information and advisory regarding CVE-2025-66580.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.