1. 漏洞背景
Cherry Studio是一款集多模型对话、知识库管理、AI绘画、翻译等功能于一体的全能AI助手平台。Cherry Studio 高度自定义的设计、强大的扩展能力和友好的用户体验,使其成为专业用户和AI爱好者的理想选择。无论是零基础用户还是开发者,都能在Cherry Studio中找到适合自己的AI功能,提升工作效率和创造力。
2. 漏洞详情
2025年8月12日,深瞳漏洞实验室监测到一则Cherry studio组件存在命令执行漏洞的信息,漏洞编号:CVE-2025-54074,漏洞威胁等级:高危。
Cherry Studio存在命令注入漏洞,其在处理OAuth服务器元数 据及动态客户端注册流程中,未对服务器返回的授权端点URL进行有效安全校验。该URL被直接传入不安全的open函数调用后,攻击者可通过构造恶意MCP服务器,利用URL编码绕过技巧在URL中植入恶意命令,导致受害者客户端连接时触发系统命令注入。
3. 漏洞影响
目前受影响的Cherry studio版本:
1.2.5 ≤ Cherry Studio ≤ 1.5.1
4. 处置建议
官方修复建议:
官方已发布最新版本修复该漏洞,建议受影响用户将Cherry studio更新到最新版本。