• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    Cherry Studio 命令注入漏洞CVE-2025-54074

    发布日期:2025-08-21    浏览次数:

    1. 漏洞背景

    Cherry Studio是一款集多模型对话、知识库管理、AI绘画、翻译等功能于一体的全能AI助手平台。Cherry Studio 高度自定义的设计、强大的扩展能力和友好的用户体验,使其成为专业用户和AI爱好者的理想选择。无论是零基础用户还是开发者,都能在Cherry Studio中找到适合自己的AI功能,提升工作效率和创造力。

    2. 漏洞详情

    2025812日,深瞳漏洞实验室监测到一则Cherry studio组件存在命令执行漏洞的信息,漏洞编号:CVE-2025-54074,漏洞威胁等级:高危。

    Cherry Studio存在命令注入漏洞,其在处理OAuth服务器元数 据及动态客户端注册流程中,未对服务器返回的授权端点URL进行有效安全校验。该URL被直接传入不安全的open函数调用后,攻击者可通过构造恶意MCP服务器,利用URL编码绕过技巧在URL中植入恶意命令,导致受害者客户端连接时触发系统命令注入。

    3. 漏洞影响

    目前受影响的Cherry studio版本:

    1.2.5 ≤ Cherry Studio ≤ 1.5.1

    4. 处置建议

    官方修复建议

    官方已发布最新版本修复该漏洞,建议受影响用户将Cherry studio更新到最新版本。


    一审:信息网络中心

    二审:信息网络中心

    三审:信息网络中心

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106