Plateforme
javascript
Composant
5ire
Corrigé dans
0.11.2
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans 5ire, un assistant IA de bureau multiplateforme. Cette faille, présente dans les versions antérieures à 0.11.1, permet l'exécution de code à distance (RCE) via une manipulation non sécurisée des protocoles Electron et l'exposition des API Electron. La mise à jour vers la version 0.11.1 corrige ce problème.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les réponses du chatbot 5ire. Ces scripts peuvent ensuite être exécutés dans le navigateur de l'utilisateur, ouvrant la voie à l'exécution de code à distance (RCE). L'utilisation de protocoles Electron non sécurisés et l'exposition d'API Electron amplifient considérablement l'impact, permettant à l'attaquant de compromettre le système de l'utilisateur. Le risque est particulièrement élevé pour les utilisateurs qui interagissent avec des chatbots non fiables ou qui copient-coller du contenu externe dans 5ire.
Cette vulnérabilité est considérée comme critique en raison de son score CVSS de 9.7 et du potentiel d'exécution de code à distance. Aucune preuve d'exploitation active n'a été signalée à ce jour. La vulnérabilité a été rendue publique le 2025-05-14. Il est conseillé de surveiller les forums de sécurité et les plateformes de partage de code pour détecter l'émergence de preuves de concept (PoC).
Users who rely on 5ire for AI assistance and frequently interact with external chatbots or paste content from untrusted sources are at the highest risk. This includes individuals using 5ire for research, data analysis, or any task involving the processing of external data. Shared hosting environments where multiple users share a single 5ire instance could also amplify the impact of this vulnerability.
• javascript / desktop:
// Check for unusual script tags in chatbot responses
const response = getChatbotResponse();
const scriptTags = response.match(/<script.*?>/gi);
if (scriptTags && scriptTags.length > 0) {
console.warn('Potential XSS detected in chatbot response:', scriptTags);
}• javascript / desktop:
// Monitor Electron protocol handlers for unexpected activity
// (Requires deeper Electron application instrumentation)
// Example: Check for calls to 'electron.protocol.registerFileProtocol' with suspicious paths• generic web:
# Check access logs for requests containing suspicious JavaScript code
grep -i 'onerror=alert' /var/log/nginx/access.logdisclosure
patch
Statut de l'Exploit
EPSS
2.22% (percentile 84%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour 5ire vers la version 0.11.1, qui corrige la vulnérabilité XSS. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver temporairement les fonctionnalités de chatbot ou à limiter l'interaction avec des sources non fiables. Surveillez attentivement les entrées du chatbot pour détecter des comportements suspects. Après la mise à jour, vérifiez l'intégrité de l'installation de 5ire et assurez-vous que la version correcte est en cours d'exécution.
Mettez à jour le client 5ire à la version 0.11.1 ou ultérieure. Cela corrige les vulnérabilités de Cross-Site Scripting (XSS) et d'Exécution Remotée de Code (RCE). Évitez d'interagir avec des chatbots non fiables ou de coller du contenu externe dans les versions antérieures à la 0.11.1.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-47777 is a critical vulnerability in 5ire AI Assistant versions prior to 0.11.1. It allows stored XSS, potentially leading to remote code execution due to insufficient input sanitization.
Yes, if you are using 5ire AI Assistant version 0.11.1 or earlier, you are potentially affected by this vulnerability. The risk is higher if you interact with untrusted chatbots.
Upgrade to version 0.11.1 of 5ire AI Assistant. If immediate upgrade is not possible, isolate the application from untrusted chatbot sources and implement strict content security policies.
While no public exploits are currently known, the high CVSS score and potential for RCE suggest attackers may be actively seeking to exploit this vulnerability.
Refer to the official 5ire security advisory for detailed information and updates regarding CVE-2025-47777. Check the 5ire website and security channels for the latest announcements.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.