| Title | 5ireにおける複数の脆弱性 |
|---|---|
| Summary | 5ireはクロスプラットフォーム対応のデスクトップ人工知能アシスタントおよびモデルコンテキストプロトコルクライアントです。バージョン0.11.1より前のバージョンには、チャットボットの応答における不十分なサニタイズにより、格納型クロスサイトスクリプティングの脆弱性が存在していました。これにより、不安全なElectronプロトコルの処理や公開されたElectron APIを介したリモートコード実行(RCE)につながる可能性があります。特に信頼できないチャットボットとやり取りをするユーザーや、外部コンテンツを貼り付けるユーザーなど、パッチ適用前の5ireクライアントの全ユーザーが影響を受けます。バージョン0.11.1にはこの問題を修正した更新が含まれています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 14, 2025, midnight |
| Registration Date | Jan. 27, 2026, 5:35 p.m. |
| Last Update | Jan. 27, 2026, 5:35 p.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.6 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| 5ire |
| 5ire 0.11.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年01月27日] 掲載 |
Jan. 27, 2026, 5:35 p.m. |
| Summary | 5ire is a cross-platform desktop artificial intelligence assistant and model context protocol client. Versions prior to 0.11.1 are vulnerable to stored cross-site scripting in chatbot responses due to insufficient sanitization. This, in turn, can lead to Remote Code Execution (RCE) via unsafe Electron protocol handling and exposed Electron APIs. All users of 5ire client versions prior to patched releases, particularly those interacting with untrusted chatbots or pasting external content, are affected. Version 0.11.1 contains a patch for the issue. |
|---|---|
| Publication Date | May 15, 2025, 1:15 a.m. |
| Registration Date | May 15, 2025, 4 a.m. |
| Last Update | May 15, 2025, 1:15 a.m. |