CVE-2025-11445
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
08/10/2025
Última modificación:
08/10/2025
Descripción
*** Pendiente de traducción *** A vulnerability was detected in Kilo Code up to 4.86.0. Affected is the function ClineProvider of the file src/core/webview/ClineProvider.ts of the component Prompt Handler. Performing manipulation results in injection. The attack can be initiated remotely. The exploit is now public and may be used. Applying a patch is the recommended action to fix this issue.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/Kilo-Org/kilocode/pull/2244
- https://github.com/Kilo-Org/kilocode/pull/2244/commits/2fdddf89edba41ec3a527134e485a3388c464333
- https://mcpsec.dev/advisories/2025-10-02-kilo-code-ai-agent-supply-chain-attack/
- https://vuldb.com/?ctiid_327382=
- https://vuldb.com/?id_327382=
- https://vuldb.com/?submit_667004=
- https://mcpsec.dev/advisories/2025-10-02-kilo-code-ai-agent-supply-chain-attack/