Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Cherry Studio (CVE-2025-54063)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
11/08/2025
Última modificación:
11/08/2025

Descripción

Cherry Studio es un cliente de escritorio compatible con múltiples proveedores LLM. Desde la versión 1.4.8 hasta la 1.5.0, existe una vulnerabilidad de ejecución remota de código con un solo clic mediante el manejo personalizado de URL. Un atacante puede explotarla alojando un sitio web malicioso o insertando una URL especialmente manipulado en cualquier sitio web. Si la víctima hace clic en el enlace del exploit en su navegador, se activa el manejador de URL personalizado de la aplicación, lo que provoca la ejecución remota de código en su equipo. Este problema se ha corregido en la versión 1.5.1.

Impacto

Vector 3.x
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.00 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.00
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información