الثغرات ›

CVE-2026-23523

حرج ⚡ اختراق متاح

ثغرة حرجة في حقن الأكواد بتطبيق Dive MCP عبر روابط التكوين الخبيثة

CWE-94 — نوع الضعف

                    نُشر: Jan 16, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

9.6

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Dive is an open-source MCP Host Desktop Application that enables integration with function-calling LLMs. Prior to 0.13.0, crafted deeplink can install an attacker-controlled MCP server configuration without sufficient user confirmation and can lead to arbitrary local command execution on the victim’s machine. This vulnerability is fixed in 0.13.0.

🤖 ملخص AI

Dive MCP Host versions before 0.13.0 allow attackers to install malicious MCP server configurations via crafted deeplinks without proper user confirmation, enabling arbitrary local command execution. Organizations using Dive should immediately upgrade to version 0.13.0 or later to prevent exploitation.

📄 الوصف (العربية)

يحتوي تطبيق Dive MCP Host على ثغرة في التحقق من صحة الروابط العميقة تسمح بتثبيت تكوينات خادم MCP ضارة دون موافقة كافية من المستخدم. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أوامر تعسفية بامتيازات المستخدم المتضرر.

🤖 ملخص تنفيذي (AI)

تطبيق Dive MCP Host الإصدارات السابقة للإصدار 0.13.0 تسمح للمهاجمين بتثبيت تكوينات خادم MCP ضارة عبر روابط عميقة مصنوعة بدون تأكيد كافٍ من المستخدم. يجب على المنظمات السعودية التي تستخدم Dive الترقية الفورية لمنع الاستغلال.

🤖 التحليل الذكي آخر تحليل: Apr 12, 2026 12:33

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

government telecom banking

🎯 تقنيات MITRE ATT&CK

T1204.001 T1566.002 T1059.001

⚖️ درجة المخاطر السعودية (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Dive to version 0.13.0 or later immediately. Disable or restrict deeplink functionality if upgrading is not immediately possible. Implement network-level controls to prevent access to untrusted deeplinks. Review and audit any MCP server configurations currently installed.

🔧 خطوات المعالجة (العربية)

قم بترقية Dive إلى الإصدار 0.13.0 أو أحدث فوراً. عطّل أو قيّد وظيفة الروابط العميقة إذا لم يكن الترقية ممكنة فوراً. طبّق عناصر تحكم على مستوى الشبكة لمنع الوصول إلى الروابط غير الموثوقة. راجع وتدقيق أي تكوينات خادم MCP مثبتة حالياً.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.PT-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.12.6.1

🔗 المراجع والمصادر 2

🔗

https://github.com/OpenAgentPlatform/Dive/commit/a5162ac9eff366d8ea1215b8a47139a81a55a779

security-advisories@github.com

Patch

🔗

https://github.com/OpenAgentPlatform/Dive/security/advisories/GHSA-pjj5-f3wm-f9m8

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

openagentplatform:dive

📊 CVSS Score

9.6

/ 10.0 — حرج

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.6

CWECWE-94

EPSS0.03%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-16

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

10.0

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

exploit-available patch-available CWE-94

🏢 توجيهات البائع

🔗 https://github.com/OpenAgentPlatform/Dive/security/a...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-23523

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب