Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Dyad (CVE-2025-58766)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
17/09/2025
Última modificación:
18/09/2025

Descripción

Dyad es un constructor de aplicaciones de IA local. Se ha descubierto una vulnerabilidad crítica de seguridad de seguridad que afectaba a Dyad v0.19.0 y versiones anteriores que permite a los atacantes ejecutar código arbitrario en los sistemas de los usuarios. La vulnerabilidad afecta la funcionalidad de la ventana de vista previa de la aplicación y puede eludir las protecciones del contenedor Docker. Un atacante puede crear contenido web que se ejecuta automáticamente cuando la vista previa carga. El contenido malicioso puede romper los límites de seguridad de la aplicación y obtener control del sistema. Esto ha sido corregido en Dyad v0.20.0 y versiones posteriores.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información