प्लेटफ़ॉर्म
javascript
घटक
markdown-it-mermaid
में ठीक किया गया
0.15.3
CVE-2025-68669 एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो 5ire के markdown-it-mermaid प्लगइन में पाई गई है। यह भेद्यता असुरक्षित कॉन्फ़िगरेशन के कारण उत्पन्न होती है, जो हमलावरों को मनमाना HTML टैग रेंडर करने और संभावित रूप से सिस्टम पर कोड निष्पादित करने की अनुमति देती है। यह भेद्यता markdown-it-mermaid के संस्करण 0.15.2 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 0.15.3 में एक पैच जारी किया गया है।
यह भेद्यता हमलावरों को 5ire एप्लिकेशन पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे सिस्टम का पूर्ण नियंत्रण प्राप्त हो सकता है। हमलावर संवेदनशील डेटा चोरी कर सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकते हैं। चूंकि 5ire एक क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप AI असिस्टेंट है, इसलिए इस भेद्यता का प्रभाव व्यापक हो सकता है, जो कई उपयोगकर्ताओं और संगठनों को प्रभावित करता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर विशेष रूप से तैयार किए गए Mermaid आरेख को इंजेक्ट कर सकता है जिसमें दुर्भावनापूर्ण HTML कोड शामिल है। यह कोड तब रेंडर होगा, जिससे हमलावर को सिस्टम पर कोड निष्पादित करने की अनुमति मिलेगी।
CVE-2025-68669 को अभी तक सक्रिय रूप से शोषण करने के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है। यह भेद्यता अभी तक CISA KEV सूची में नहीं जोड़ी गई है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन वर्तमान में व्यापक रूप से ज्ञात नहीं हैं।
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-68669 को कम करने के लिए, markdown-it-mermaid प्लगइन को संस्करण 0.15.3 में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, markdown-it-mermaid प्लगइन को सुरक्षित कॉन्फ़िगरेशन के साथ कॉन्फ़िगर किया जा सकता है, जैसे कि सुरक्षा स्तर को 'सुरक्षित' पर सेट करना। यह HTML टैग के रेंडरिंग को प्रतिबंधित करेगा और भेद्यता के जोखिम को कम करेगा। इसके अतिरिक्त, इनपुट को मान्य करना और सैनिटाइज करना महत्वपूर्ण है ताकि यह सुनिश्चित किया जा सके कि दुर्भावनापूर्ण Mermaid आरेख सिस्टम में प्रवेश न करें।
`markdown-it-mermaid` निर्भरता को एक ऐसे संस्करण में अपडेट करें जो भेद्यता को ठीक करता है। यदि कोई ठीक किया गया संस्करण उपलब्ध नहीं है, तो `securityLevel: 'loose'` कॉन्फ़िगरेशन से बचें और Mermaid आरेखों को रेंडर करने के लिए अन्य सुरक्षित विकल्पों पर विचार करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68669 एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो markdown-it-mermaid प्लगइन में पाई गई है, जिससे हमलावर मनमाना कोड चला सकते हैं।
यदि आप markdown-it-mermaid के संस्करण 0.15.2 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
markdown-it-mermaid प्लगइन को संस्करण 0.15.3 में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो सुरक्षा स्तर को 'सुरक्षित' पर सेट करें।
अभी तक सक्रिय शोषण के कोई ज्ञात मामले नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका शोषण होने की संभावना है।
आधिकारिक सलाहकार के लिए markdown-it-mermaid परियोजना के भंडार की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।