Plataforma
javascript
Componente
markdown-it-mermaid
Corrigido em
0.15.3
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no 5ire, um assistente de IA desktop, devido à configuração inadequada do plugin markdown-it-mermaid. A vulnerabilidade reside na inicialização do plugin com a opção securityLevel: 'loose', o que permite a renderização de tags HTML dentro de diagramas Mermaid. Versões afetadas são aquelas anteriores ou iguais a 0.15.2. A correção foi disponibilizada na versão 0.15.3.
Um atacante pode explorar esta vulnerabilidade injetando código HTML malicioso dentro de um diagrama Mermaid em um documento Markdown processado pelo 5ire. Devido à configuração 'loose', o plugin renderizará este HTML sem validação, permitindo a execução de código arbitrário no sistema onde o 5ire está em execução. O impacto é severo, pois um atacante pode obter controle total sobre o sistema, roubar dados sensíveis, instalar malware ou realizar outras ações maliciosas. A ausência de validação de entrada torna a exploração relativamente simples, especialmente para usuários com conhecimento básico de HTML e Markdown.
Esta vulnerabilidade foi divulgada em 2025-12-23. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV catalog) até o momento da publicação. A existência de uma prova de conceito (PoC) pública é desconhecida, mas a natureza da vulnerabilidade sugere que uma PoC pode ser desenvolvida com relativa facilidade.
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o 5ire para a versão 0.15.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o uso de diagramas Mermaid em documentos Markdown processados pelo 5ire. Implemente validação rigorosa de entrada para todos os documentos Markdown, removendo ou escapando tags HTML potencialmente perigosas. Considere utilizar um servidor proxy ou WAF para filtrar solicitações maliciosas antes que elas cheguem ao 5ire. A configuração do plugin markdown-it-mermaid deve ser alterada para securityLevel: 'strict' para evitar a renderização de HTML.
Atualizar a dependência `markdown-it-mermaid` para uma versão que corrija a vulnerabilidade. Se não houver uma versão corrigida disponível, evitar usar a configuração `securityLevel: 'loose'` e considerar outras alternativas mais seguras para renderizar diagramas Mermaid.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68669 is a critical Remote Code Execution vulnerability in 5ire AI Assistant versions up to 0.15.2, allowing attackers to execute arbitrary code via malicious Mermaid diagrams due to an insecure plugin configuration.
If you are using 5ire AI Assistant version 0.15.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.15.3 to mitigate the risk.
The recommended fix is to upgrade to version 0.15.3. As a temporary workaround, sanitize Mermaid diagram input and configure the markdown-it-mermaid plugin with a stricter securityLevel.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the 5ire security advisories page for the latest information and official guidance regarding CVE-2025-68669.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.