Plateforme
javascript
Composant
markdown-it-mermaid
Corrigé dans
0.15.3
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans la bibliothèque markdown-it-mermaid, utilisée par 5ire, un assistant d'intelligence artificielle. Cette faille, présente dans les versions 0.15.2 et antérieures, est due à une configuration de sécurité incorrecte ('loose') qui autorise le rendu de balises HTML dans les diagrammes Mermaid. L'exploitation réussie de cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le système.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter du code malveillant sur le système où 5ire est en cours d'exécution. Cela pourrait permettre de compromettre l'intégrité des données, de voler des informations sensibles, ou même de prendre le contrôle total du système. La configuration 'loose' de markdown-it-mermaid permet l'injection de code HTML arbitraire, ce qui ouvre la porte à une large gamme d'attaques, allant de l'exécution de scripts malveillants à l'injection de portes dérobées. Le risque est exacerbé si 5ire est utilisé dans un environnement sensible ou pour traiter des données confidentielles.
Cette vulnérabilité a été publiée le 23 décembre 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature critique de la vulnérabilité et la facilité d'exploitation potentielle la rendent préoccupante. La présence d'une vulnérabilité RCE avec un score CVSS de 9.7 indique une probabilité d'exploitation élevée si un proof-of-concept (PoC) devient public. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour tout signe d'exploitation.
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque markdown-it-mermaid vers la version 0.15.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à modifier la configuration de markdown-it-mermaid pour utiliser un niveau de sécurité plus strict, par exemple 'strict'. Il est également recommandé de désactiver temporairement le plugin markdown-it-mermaid si cela n'affecte pas les fonctionnalités essentielles de l'application. Après la mise à jour, vérifiez que le rendu des diagrammes Mermaid se fait correctement et qu'aucune balise HTML malveillante n'est injectée.
Mettre à jour la dépendance `markdown-it-mermaid` vers une version qui corrige la vulnérabilité. Si aucune version corrigée n'est disponible, éviter d'utiliser la configuration `securityLevel: 'loose'` et envisager d'autres alternatives plus sûres pour le rendu des diagrammes Mermaid.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68669 is a critical Remote Code Execution vulnerability in 5ire AI Assistant versions up to 0.15.2, allowing attackers to execute arbitrary code via malicious Mermaid diagrams due to an insecure plugin configuration.
If you are using 5ire AI Assistant version 0.15.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.15.3 to mitigate the risk.
The recommended fix is to upgrade to version 0.15.3. As a temporary workaround, sanitize Mermaid diagram input and configure the markdown-it-mermaid plugin with a stricter securityLevel.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the 5ire security advisories page for the latest information and official guidance regarding CVE-2025-68669.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.