漏洞描述
Cherry Studio 是一款跨平台桌面AI助手,支持多种主流大语言模型(LLM),兼容 Windows、Mac 和 Linux 系统。
2025年8月,Cherry Studio官方发布安全通告预警Cherry Studio命令注入漏洞(CVE-2025-54074)。该漏洞导致恶意MCP服务器可通过<=v1.5.1版本的Cherry Studio在受害者主机上执行任意命令。建议受影响的用户及时更新版本进行修复。
漏洞危害
命令执行漏洞可能导致攻击者在服务器上执行任意命令,获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外,攻击者还可能利用该漏洞进行权限提升,进一步控制整个服务器或网络。
修复方法
一、升级修复方案
请及时升级Cherry Studio至v1.5.2或之后的版本:
下载地址:https://github.com/1Panel-dev/1Panel/releases
二、临时缓解措施
在Cherry Studio中移除不可信的MCP服务器
评分维度
长亭安全产品覆盖情况
漏洞时间线
漏洞信息更新
2025-08-12
漏洞披露
2025-08-13