平台
javascript
组件
markdown-it-mermaid
修复版本
0.15.3
CVE-2025-68669 描述了在 5ire 应用程序中使用的 markdown-it-mermaid 插件中的远程代码执行 (RCE) 漏洞。该漏洞源于插件的初始化配置,允许在 Mermaid 图形节点中渲染 HTML 标签,从而为攻击者提供了执行任意代码的机会。受影响的版本包括 markdown-it-mermaid 0.15.2 及更早版本。已发布补丁版本 0.15.3。
该 RCE 漏洞允许攻击者通过构造恶意的 Mermaid 图形,在 5ire 应用程序的上下文中执行任意代码。攻击者可以利用此漏洞获取对系统的完全控制权,窃取敏感数据,安装恶意软件,或发起进一步的攻击。由于漏洞允许直接执行代码,因此其影响范围非常广泛,可能导致严重的业务中断和数据泄露。该漏洞的严重性与 Log4Shell 类似,因为它允许攻击者通过简单的输入来执行代码。
该漏洞已公开披露,并且由于其严重性,可能成为攻击者的目标。目前尚无已知的公开利用程序,但由于漏洞的严重性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的最新动态,并采取必要的预防措施。
Organizations and individuals using 5ire AI Assistant versions 0.15.2 and earlier are at risk. This includes developers integrating 5ire into their applications and users relying on 5ire for AI assistance. Shared hosting environments where multiple users share the same 5ire instance are particularly vulnerable.
• javascript / desktop: Inspect 5ire application code for initialization of markdown-it-mermaid with securityLevel: 'loose'. Use a debugger to monitor the rendering of Mermaid diagrams and look for unexpected HTML execution.
• generic web: Monitor network traffic for requests containing malicious Mermaid diagrams. Examine application logs for errors related to HTML parsing or rendering.
disclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将 markdown-it-mermaid 插件升级至 0.15.3 或更高版本。如果升级会导致应用程序中断,可以考虑回滚到之前的稳定版本,并实施额外的安全措施。此外,建议配置 WAF 或代理服务器,以过滤包含恶意 HTML 标签的 Mermaid 图形。可以创建自定义规则来阻止渲染 HTML 标签,或者限制允许的 HTML 标签类型。在升级后,请验证插件是否已成功更新,并检查应用程序是否正常运行。
升级 `markdown-it-mermaid` 依赖项到修复此漏洞的版本。如果不可用修复版本,避免使用 `securityLevel: 'loose'` 配置,并考虑更安全的 Mermaid 图形渲染替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68669 是 markdown-it-mermaid 插件在版本≤0.15.2 中发现的一个远程代码执行漏洞。由于安全级别配置不当,攻击者可以利用此漏洞执行任意代码。
如果您正在使用 markdown-it-mermaid 插件的版本小于或等于 0.15.2,则您可能受到此漏洞的影响。请立即升级到 0.15.3 或更高版本。
修复此漏洞的最佳方法是升级到 markdown-it-mermaid 插件的 0.15.3 或更高版本。
目前尚无已知的公开利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 markdown-it-mermaid 项目的 GitHub 仓库或相关安全公告页面,以获取官方信息:https://github.com/markdown-it/markdown-it-mermaid