Platform
javascript
Component
markdown-it-mermaid
Opgelost in
0.15.3
CVE-2025-68669 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in de markdown-it-mermaid plugin, gebruikt door 5ire, een cross-platform AI assistent. Deze kwetsbaarheid ontstaat doordat de plugin geïnitialiseerd wordt met een 'loose' securityLevel, waardoor HTML-tags in Mermaid diagrammen uitgevoerd kunnen worden. De kwetsbaarheid treft versies van markdown-it-mermaid tot en met 0.15.2. Een patch is beschikbaar in versie 0.15.3.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op het systeem waar 5ire draait. Dit kan leiden tot volledige controle over het systeem, inclusief data-exfiltratie, installatie van malware en het compromitteren van andere systemen in het netwerk. De 'loose' securityLevel instelling maakt het mogelijk om schadelijke HTML-code in Mermaid diagrammen te injecteren, die vervolgens door de plugin wordt uitgevoerd. Dit is vergelijkbaar met eerdere kwetsbaarheden waarbij het parseren van onbetrouwbare input tot code-uitvoering leidde.
Deze kwetsbaarheid is openbaar gemaakt op 2025-12-23. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. De EPSS score is nog niet bekend, maar gezien de kritieke CVSS score en de mogelijkheid tot RCE, wordt een medium tot hoge waarschijnlijkheid van exploitatie aangenomen. Er zijn geen publieke proof-of-concept exploits bekend op het moment van publicatie.
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.15.3 of hoger van de markdown-it-mermaid plugin. Indien een directe upgrade niet mogelijk is, kan de 'securityLevel' ingesteld worden op 'strict' om de uitvoering van HTML-tags in Mermaid diagrammen te voorkomen. Dit kan echter de functionaliteit van de plugin beperken. Controleer de 5ire configuratie om te verzekeren dat onbetrouwbare input niet direct aan de markdown-it-mermaid plugin wordt doorgegeven. Na de upgrade, verifieer de fix door een Mermaid diagram met potentieel schadelijke HTML-code te renderen en controleer of de code niet wordt uitgevoerd.
Actualiseer de `markdown-it-mermaid` afhankelijkheid naar een versie die de kwetsbaarheid corrigeert. Indien er geen gecorrigeerde versie beschikbaar is, vermijd dan het gebruik van de configuratie `securityLevel: 'loose'` en overweeg andere veiligere alternatieven voor het renderen van Mermaid diagrammen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68669 is a critical Remote Code Execution vulnerability in 5ire AI Assistant versions up to 0.15.2, allowing attackers to execute arbitrary code via malicious Mermaid diagrams due to an insecure plugin configuration.
If you are using 5ire AI Assistant version 0.15.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.15.3 to mitigate the risk.
The recommended fix is to upgrade to version 0.15.3. As a temporary workaround, sanitize Mermaid diagram input and configure the markdown-it-mermaid plugin with a stricter securityLevel.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the 5ire security advisories page for the latest information and official guidance regarding CVE-2025-68669.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.