Dive中存在的安全漏洞CVE-2025-58176
Dive 是 OpenAgentPlatform 开源 MCP(Model Context Protocol)桌面应用,专为无缝集成支持函数调用能力LLMs(大语言模型)设计。
一、基本情况
Dive是OpenAgentPlatform开源的一个MCP主机桌面应用程序,Dive 主要提供跨平台(Windows/macOS/Linux)的 AI 工具调用解决方案。
Dive提供 Windows、Linux 和 macOS 等一些版本,其核心价值在于简化开发者对多语言模型的集成流程,实现高效工具调用与系统交互。
栋科技漏洞库关注到Dive 0.9.3及之前版本存在一个安全漏洞,该漏洞现在已经被追踪为CVE-2025-58176,该漏洞的CVSS 3.x评分为8.8。
二、漏洞分析
CVE-2025-58176是Dive 0.9.3及之前版本中发现的一键远程代码执行(RCE),漏洞源于自定义URL处理不当,可能导致远程代码执行。
该执行是从Dive形式的自定义url触发的,攻击者可以在以下两种情况下利用该漏洞:
- 受害者访问由攻击者控制的恶意网站,网站会自动重定向到该URL。
- 受害者点击嵌入在合法网站上(例如,在用户生成的内容中)的精心制作的链接。
浏览器两种情况下都会调用Dive的自定义URL处理程序(Dive:),程序会启动Dive应用程序并处理精心编制的URL,从而执行任意代码。
详细而言,Dive支持从配置文件安装mcp服务器,这些配置文件可以嵌入到自定义url中。
1、Dive fist使用代码处理自定义网址:
管理员已设置登录后刷新可查看2、deeplinkHandler使用以下方式处理url:
管理员已设置登录后刷新可查看4、配置的形式如下:
管理员已设置登录后刷新可查看7、上面的配置将执行open-a/System/Applications/Calculator.app,导致calculator弹出。
8、最后,如果我们将名称设置为“pwn”并使用base64对配置进行编码,我们可以将自定义url构造为工作poc。
管理员已设置登录后刷新可查看三、POC概念验证
管理员已设置登录后刷新可查看四、影响范围
Dive <= 0.9.
五、修复建议
Dive >= 0.9.4
六、参考链接
管理员已设置登录后刷新可查看