प्लेटफ़ॉर्म
javascript
घटक
5ire
में ठीक किया गया
0.11.2
5ire एक क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप आर्टिफिशियल इंटेलिजेंस असिस्टेंट है। CVE-2025-47777 एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो संस्करण 0.11.1 से पहले के 5ire के संस्करणों में पाई गई है। असुरक्षित चैटबॉट प्रतिक्रियाओं में अपर्याप्त सैनिटाइजेशन के कारण यह भेद्यता रिमोट कोड एग्जीक्यूशन (RCE) का कारण बन सकती है। संस्करण 0.11.1 में इस समस्या के लिए पैच शामिल है।
यह XSS भेद्यता हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट को 5ire के चैटबॉट प्रतिक्रियाओं में इंजेक्ट करने की अनुमति देती है। जब कोई उपयोगकर्ता इन प्रतिक्रियाओं के साथ इंटरैक्ट करता है, तो स्क्रिप्ट निष्पादित हो सकती है, जिससे हमलावर उपयोगकर्ता के ब्राउज़र पर नियंत्रण कर सकता है। असुरक्षित इलेक्ट्रॉन प्रोटोकॉल हैंडलिंग और उजागर इलेक्ट्रॉन एपीआई के कारण यह XSS भेद्यता RCE में आगे बढ़ सकती है, जिससे हमलावर सिस्टम पर मनमाना कोड निष्पादित कर सकता है। इससे संवेदनशील डेटा चोरी हो सकता है, सिस्टम समझौता हो सकता है, या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन XSS भेद्यताओं के लिए सार्वजनिक रूप से उपलब्ध शोषण मौजूद हैं। CISA ने इस CVE को अपनी KEV सूची में शामिल नहीं किया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (POC) मौजूद हो सकते हैं, जिससे हमलावरों के लिए इस भेद्यता का शोषण करना आसान हो जाता है।
Users who rely on 5ire for AI assistance and frequently interact with external chatbots or paste content from untrusted sources are at the highest risk. This includes individuals using 5ire for research, data analysis, or any task involving the processing of external data. Shared hosting environments where multiple users share a single 5ire instance could also amplify the impact of this vulnerability.
• javascript / desktop:
// Check for unusual script tags in chatbot responses
const response = getChatbotResponse();
const scriptTags = response.match(/<script.*?>/gi);
if (scriptTags && scriptTags.length > 0) {
console.warn('Potential XSS detected in chatbot response:', scriptTags);
}• javascript / desktop:
// Monitor Electron protocol handlers for unexpected activity
// (Requires deeper Electron application instrumentation)
// Example: Check for calls to 'electron.protocol.registerFileProtocol' with suspicious paths• generic web:
# Check access logs for requests containing suspicious JavaScript code
grep -i 'onerror=alert' /var/log/nginx/access.logdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
2.22% (84% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, 5ire के संस्करण 0.11.1 में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, चैटबॉट के साथ किसी भी बाहरी सामग्री को पेस्ट करने या इंटरैक्ट करने से बचें, खासकर यदि आप स्रोत पर भरोसा नहीं करते हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने पर विचार करें। 5ire के इलेक्ट्रॉन प्रोटोकॉल हैंडलिंग को सुरक्षित करने के लिए सुरक्षा नीतियों को कॉन्फ़िगर करें।
5ire क्लाइंट को संस्करण 0.11.1 या बाद के संस्करण में अपडेट करें। यह क्रॉस-साइट स्क्रिप्टिंग (XSS) और रिमोट कोड एग्जीक्यूशन (RCE) कमजोरियों को ठीक करता है। 0.11.1 से पहले के संस्करणों में अविश्वसनीय चैटबॉट के साथ इंटरैक्ट करने या बाहरी सामग्री पेस्ट करने से बचें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-47777 5ire AI सहायक में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो असुरक्षित चैटबॉट प्रतिक्रियाओं के कारण रिमोट कोड एग्जीक्यूशन (RCE) का कारण बन सकती है।
यदि आप 5ire के संस्करण 0.11.1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
5ire के संस्करण 0.11.1 में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं की गई है, लेकिन सार्वजनिक POC मौजूद हो सकते हैं।
5ire की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।