Plataforma
javascript
Componente
markdown-it-mermaid
Corregido en
0.15.3
Se ha descubierto una vulnerabilidad de Ejecución Remota de Código (RCE) en la librería markdown-it-mermaid, utilizada por el asistente de inteligencia artificial 5ire. Esta vulnerabilidad, presente en versiones hasta la 0.15.2, se debe a una configuración insegura que permite la inyección de código HTML dentro de los diagramas Mermaid. La actualización a la versión 0.15.3 corrige esta vulnerabilidad, y se recomienda su aplicación inmediata.
La vulnerabilidad permite a un atacante inyectar código HTML malicioso dentro de diagramas Mermaid renderizados por 5ire. Dado que markdown-it-mermaid se utiliza para procesar contenido proporcionado por el usuario, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema donde se ejecuta 5ire. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, o la instalación de malware. La severidad CRÍTICA de esta vulnerabilidad indica un alto riesgo de explotación y un impacto significativo en la seguridad de los sistemas afectados. La falta de sanitización de la entrada del usuario en la configuración 'loose' es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad se publicó el 23 de diciembre de 2025. Actualmente no se dispone de información sobre campañas de explotación activas, pero la alta puntuación CVSS (9.7) indica un alto riesgo de explotación. Es importante monitorear la situación y aplicar las mitigaciones recomendadas lo antes posible. No se ha añadido a KEV a la fecha de publicación.
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.15.3 de markdown-it-mermaid, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda cambiar la configuración de seguridad a 'strict' para evitar la inyección de HTML. Esto limitará la funcionalidad de Mermaid, pero reducirá significativamente el riesgo de explotación. Además, se debe revisar y validar cuidadosamente cualquier contenido Markdown que se procese a través de markdown-it-mermaid para identificar y eliminar posibles payloads maliciosos. Después de la actualización, confirme la corrección revisando los logs del sistema en busca de intentos de inyección de código.
Actualizar la dependencia `markdown-it-mermaid` a una versión que corrija la vulnerabilidad. Si no hay una versión corregida disponible, evitar usar la configuración `securityLevel: 'loose'` y considerar otras alternativas más seguras para renderizar diagramas Mermaid.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68669 is a critical Remote Code Execution vulnerability in 5ire AI Assistant versions up to 0.15.2, allowing attackers to execute arbitrary code via malicious Mermaid diagrams due to an insecure plugin configuration.
If you are using 5ire AI Assistant version 0.15.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.15.3 to mitigate the risk.
The recommended fix is to upgrade to version 0.15.3. As a temporary workaround, sanitize Mermaid diagram input and configure the markdown-it-mermaid plugin with a stricter securityLevel.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the 5ire security advisories page for the latest information and official guidance regarding CVE-2025-68669.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.