Vulnerabilities ›

CVE-2026-23523

Critical ⚡ Exploit Available

Critical Code Injection in Dive MCP Host via Malicious Deeplink Configuration

CWE-94 — Weakness Type

                    Published: Jan 16, 2026                      ·  Modified: Feb 28, 2026                      ·  Source: NVD                

CVSS v3

9.6

🔗 NVD Official

📄 Description (English)

Dive is an open-source MCP Host Desktop Application that enables integration with function-calling LLMs. Prior to 0.13.0, crafted deeplink can install an attacker-controlled MCP server configuration without sufficient user confirmation and can lead to arbitrary local command execution on the victim’s machine. This vulnerability is fixed in 0.13.0.

🤖 AI Executive Summary

Dive MCP Host versions before 0.13.0 allow attackers to install malicious MCP server configurations via crafted deeplinks without proper user confirmation, enabling arbitrary local command execution. Organizations using Dive should immediately upgrade to version 0.13.0 or later to prevent exploitation.

📄 Description (Arabic)

يحتوي تطبيق Dive MCP Host على ثغرة في التحقق من صحة الروابط العميقة تسمح بتثبيت تكوينات خادم MCP ضارة دون موافقة كافية من المستخدم. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أوامر تعسفية بامتيازات المستخدم المتضرر.

🤖 ملخص تنفيذي (AI)

تطبيق Dive MCP Host الإصدارات السابقة للإصدار 0.13.0 تسمح للمهاجمين بتثبيت تكوينات خادم MCP ضارة عبر روابط عميقة مصنوعة بدون تأكيد كافٍ من المستخدم. يجب على المنظمات السعودية التي تستخدم Dive الترقية الفورية لمنع الاستغلال.

🤖 AI Intelligence Analysis Analyzed: Apr 12, 2026 12:33

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom banking

🎯 MITRE ATT&CK Techniques

T1204.001 T1566.002 T1059.001

⚖️ Saudi Risk Score (AI)

10.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Dive to version 0.13.0 or later immediately. Disable or restrict deeplink functionality if upgrading is not immediately possible. Implement network-level controls to prevent access to untrusted deeplinks. Review and audit any MCP server configurations currently installed.

🔧 خطوات المعالجة (العربية)

قم بترقية Dive إلى الإصدار 0.13.0 أو أحدث فوراً. عطّل أو قيّد وظيفة الروابط العميقة إذا لم يكن الترقية ممكنة فوراً. طبّق عناصر تحكم على مستوى الشبكة لمنع الوصول إلى الروابط غير الموثوقة. راجع وتدقيق أي تكوينات خادم MCP مثبتة حالياً.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1.1 A.7.1.2 A.12.2.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.PT-1

🟡 ISO 27001:2022

A.6.1.1 A.12.2.1 A.12.6.1

🔗 References & Sources 2

🔗

https://github.com/OpenAgentPlatform/Dive/commit/a5162ac9eff366d8ea1215b8a47139a81a55a779

security-advisories@github.com

Patch

🔗

https://github.com/OpenAgentPlatform/Dive/security/advisories/GHSA-pjj5-f3wm-f9m8

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

openagentplatform:dive

📊 CVSS Score

9.6

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity Critical

CVSS Score9.6

CWECWE-94

EPSS0.03%

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-01-16

Source Feed nvd

🇸🇦 Saudi Risk Score

10.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available patch-available CWE-94

🏢 Vendor Advisories

🔗 https://github.com/OpenAgentPlatform/Dive/security/a...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-23523

💬 Comments

Introduce Yourself

Sign In Required