CVE-2025-66580

Nome do Software Vulnerável e Versões Afetadas Versões do Dive anteriores a 0.11.1

Descrição O Dive é um aplicativo desktop Host MCP de código aberto que integra com LLMs com chamada de função. Existe uma vulnerabilidade crítica de Cross-Site Scripting (XSS) Armazenado no componente de renderização de diagramas Mermaid. A aplicação permite a execução de JavaScript arbitrário via javascript:. Um atacante pode explorar isso para injetar uma configuração maliciosa de servidor Model Context Protocol (MCP), potencialmente levando à Execução Remota de Código (RCE) na máquina da vítima quando um nó é clicado. O componente vulnerável permite a injeção de código malicioso através do esquema URI javascript:.

Recomendações Atualize para a versão 0.11.1 para resolver este problema.