آسیبپذیری CVE-2025-58176 با شدت 8.8 در نرمافزار متنباز Dive MCP Host Desktop Application نسخههای 0.9.0 تا 0.9.3 شناسایی شده است. این ضعف ناشی از پردازش نادرست URL سفارشی dive:// است که امکان اجرای کد از راه دور تنها با یک کلیک (One-click RCE) را فراهم میکند. مهاجم میتواند یک لینک مخرب ایجاد کرده و آن را در یک وبسایت آلوده قرار دهد یا در محتوای تولیدشده توسط کاربر جاسازی کند. زمانی که قربانی روی لینک کلیک کند یا مرورگر بهصورت خودکار به آن هدایت شود، برنامه Dive باز شده و URL دستکاریشده را پردازش میکند که منجر به اجرای کد دلخواه مهاجم روی سیستم قربانی میشود. شدت این آسیبپذیری بحرانی است زیرا بدون احراز هویت منجر به کنترل کامل سیستم میگردد. این مشکل در نسخهی 0.9.4 برطرف شده و توصیه میشود کاربران فوراً به نسخهی وصلهشده ارتقا دهند و از کلیک روی لینکهای ناشناس خودداری کنند.
محصولات تحتتأثیر
-
Dive MCP Host Desktop Application نسخههای 0.9.0، 0.9.1، 0.9.2، 0.9.3
توصیههای امنیتی
- بهروزرسانی فوری به نسخهی 0.9.4 یا جدیدتر.
- غیرفعالسازی موقت پروتکل سفارشی dive:// در سیستمعامل.
- آموزش کاربران برای پرهیز از کلیک روی لینکهای ناشناس.
- استفاده از مرورگرهایی که محدودیت بیشتری روی URL Handlerهای سفارشی دارند.
- مانیتورینگ رفتار سیستم برای شناسایی فعالیتهای غیرعادی پس از اجرای برنامه.
منبع خبر:
- 15