CVE-2025-58176

Nome do Software Vulnerável e Versões Afetadas Versões do Dive de 0.9.0 a 0.9.3

Descrição O Dive é um aplicativo desktop Host MCP de código aberto que permite integração com LLMs com chamada de função. As versões 0.9.0 a 0.9.3 contêm uma vulnerabilidade de Execução Remota de Código (RCE) acionada por um valor de URL manipulado, transport, dentro de um objeto JSON. Um atacante pode explorar essa vulnerabilidade redirecionando uma vítima para um site malicioso ou incorporando um link manipulado em conteúdo legítimo. Quando uma vítima interage com o link manipulado, o navegador invoca o manipulador de URL personalizado do Dive (dive:), iniciando o aplicativo e executando código arbitrário na máquina da vítima devido ao processamento inadequado da URL personalizada.

Recomendações Atualize para a versão 0.9.4 ou posterior.