CRITICALCVE-2025-68669CVSS 9.7

5ire が mermaid 経由でリモートコード実行 (RCE) の脆弱性を持つ

Q: CVE-2025-68669 — RCE in markdown-it-mermaidとは何ですか？

CVE-2025-68669は、5ireのmarkdown-it-mermaidプラグインにおけるリモートコード実行（RCE）脆弱性です。悪意のあるMermaid図を挿入することで、攻撃者がコードを実行できるようになります。

Q: CVE-2025-68669 in markdown-it-mermaidに影響を受けますか？

5ireデスクトップAIアシスタントを使用しており、markdown-it-mermaidプラグインのバージョン0.15.2以前を使用している場合は、影響を受けます。

Q: CVE-2025-68669 in markdown-it-mermaidを修正するにはどうすればよいですか？

markdown-it-mermaidプラグインをバージョン0.15.3以降にアップデートしてください。アップデートがすぐに利用できない場合は、securityLevelを'strict'に設定してください。

Q: CVE-2025-68669は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、RCE脆弱性の性質上、悪用される可能性は高いと考えられます。

Q: CVE-2025-68669に関する公式の5ireのアドバイザリはどこで入手できますか？

公式のアドバイザリは、5ireのセキュリティ情報ページで確認できます。詳細は、5ireのウェブサイトを参照してください。

プラットフォーム

javascript

コンポーネント

markdown-it-mermaid

修正版

0.15.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68669は、5ireのデスクトップAIアシスタントで使用されるmarkdown-it-mermaidプラグインにおけるリモートコード実行（RCE）脆弱性です。この脆弱性は、プラグインの初期化時にsecurityLevelが'loose'に設定されている場合に発生し、攻撃者が悪意のあるHTMLタグを挿入することでコードを実行できるようになります。影響を受けるバージョンは0.15.2以前であり、バージョン0.15.3へのアップデートで修正されています。

影響と攻撃シナリオ

このRCE脆弱性は、攻撃者が5ireアプリケーション内で任意のコードを実行することを可能にします。攻撃者は、悪意のあるMermaid図を挿入することで、システム上の機密情報を盗んだり、マルウェアをインストールしたり、さらにはシステムを完全に制御したりする可能性があります。この脆弱性の悪用は、アプリケーションの完全な侵害につながる可能性があり、深刻なセキュリティリスクをもたらします。特に、5ireアプリケーションが機密データを取り扱う場合、この脆弱性の影響は甚大です。

悪用の状況

この脆弱性は、2025年12月23日に公開されました。現時点では、公的なPoCは確認されていませんが、RCE脆弱性の性質上、悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明ですが、CVSSスコアがCRITICALであるため、注意が必要です。攻撃者は、この脆弱性を利用して、5ireアプリケーションを標的とした攻撃キャンペーンを展開する可能性があります。

リスク対象者翻訳中…

Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.

検出手順翻訳中…

• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution. • generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.

攻撃タイムライン

2025-12-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmarkdown-it-mermaid

ベンダーnanbingxyz

影響範囲修正版

<= 0.15.2 – <= 0.15.20.15.3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-12-22
公開日2025-12-23
更新日2026-02-06
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、markdown-it-mermaidプラグインをバージョン0.15.3以降にアップデートすることです。アップデートがすぐに利用できない場合、securityLevelを'strict'に設定することで、HTMLタグのレンダリングを制限し、攻撃のリスクを軽減できます。また、入力検証を強化し、Mermaid図のコンテンツを厳密にチェックすることで、悪意のあるコードの挿入を防ぐことができます。ファイアウォールやプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。

修正方法

markdown-it-mermaid 依存関係を脆弱性を修正するバージョンにアップデートしてください。修正バージョンが利用できない場合は、securityLevel: 'loose' の設定の使用を避け、Mermaid ダイアグラムのレンダリングのためのより安全な代替手段を検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-68669 — RCE in markdown-it-mermaidとは何ですか？