Suuuuuzy

**Name of the Vulnerable Software and Affected Versions** AFFiNE versions prior to 0.25.4 **Description** AFFiNE is an open-source workspace and operating system. Versions prior to 0.25.4 contain a one-click remote code execution issue. An attacker can exploit this by embedding a specially crafted `affine:` URL on a website. Exploitation occurs when a victim visits a malicious website that redirects to the URL, or clicks a crafted link on a legitimate website. This triggers the AFFiNE custom URL handler, launching the application and processing the URL, resulting in arbitrary code execution on the victim’s machine without further interaction. **Recommendations** Update to version 0.25.4 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Dive de 0.9.0 a 0.9.3 **Descrição** O Dive é um aplicativo desktop Host MCP de código aberto que permite integração com LLMs com chamada de função. As versões 0.9.0 a 0.9.3 contêm uma vulnerabilidade de Execução Remota de Código (RCE) acionada por um valor de URL manipulado, `transport`, dentro de um objeto JSON. Um atacante pode explorar essa vulnerabilidade redirecionando uma vítima para um site malicioso ou incorporando um link manipulado em conteúdo legítimo. Quando uma vítima interage com o link manipulado, o navegador invoca o manipulador de URL personalizado do Dive (dive:), iniciando o aplicativo e executando código arbitrário na máquina da vítima devido ao processamento inadequado da URL personalizada. **Recomendações** Atualize para a versão 0.9.4 ou posterior.