Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en 5ire (CVE-2025-47777)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
14/05/2025
Última modificación:
16/05/2025

Descripción

5ire es un asistente de inteligencia artificial multiplataforma de escritorio y un cliente de protocolo de contexto de modelo. Las versiones anteriores a la 0.11.1 son vulnerables a cross-site scripting almacenado en las respuestas de los chatbots debido a una limpieza insuficiente. Esto, a su vez, puede provocar la ejecución remota de código (RCE) mediante la gestión insegura del protocolo Electron y la exposición de las API de Electron. Todos los usuarios de versiones del cliente 5ire anteriores a las actualizaciones, en particular aquellos que interactúan con chatbots no confiables o comparten contenido externo, se ven afectados. La versión 0.11.1 incluye un parche para este problema.