Vulnerabilidad en 5ire (CVE-2025-47777)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
14/05/2025
Última modificación:
16/05/2025
Descripción
5ire es un asistente de inteligencia artificial multiplataforma de escritorio y un cliente de protocolo de contexto de modelo. Las versiones anteriores a la 0.11.1 son vulnerables a cross-site scripting almacenado en las respuestas de los chatbots debido a una limpieza insuficiente. Esto, a su vez, puede provocar la ejecución remota de código (RCE) mediante la gestión insegura del protocolo Electron y la exposición de las API de Electron. Todos los usuarios de versiones del cliente 5ire anteriores a las actualizaciones, en particular aquellos que interactúan con chatbots no confiables o comparten contenido externo, se ven afectados. La versión 0.11.1 incluye un parche para este problema.
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/nanbingxyz/5ire/commit/56601e012095194a4be0d4cb6da6b5b3cb53dea8
- https://github.com/nanbingxyz/5ire/security/advisories/GHSA-mr8w-mmvv-6hq8
- https://positive.security/blog/url-open-rce
- https://shabarkin.notion.site/1-click-RCE-in-Electron-Applications-501c2e96e7934610979cd3c72e844a22
- https://www.electronjs.org/docs/latest/tutorial/security
- https://www.youtube.com/watch?v=ROFYhS9E9eU