慢讯，一个礼拜前发布的漏洞，貌似没人发。站里佬友用Cherry Studio比较多，提醒大家一下 
漏洞概述
漏洞名称
Cherry Studio 命令注入漏洞 
漏洞编号
CVE-2025-54074 
漏洞等级
高危 
漏洞详情
影响组件
Cherry Studio 是一款支持多模型提供商的桌面 AI 客户端，可集中管理本地或云端的大模型服务，并提供可视化配置与会话插件扩展功能。 
漏洞描述
近日检测到官方修复Cherry Studio命令注入漏洞(CVE-2025-54074)，该漏洞产生的原因在于v1.5.1及之前版本中，Cherry Studio 的 MCP 客户端在 HTTP Streamable 模式下与OAuth服务器交互时，未对服务器返回的authorization_endpoint参数做输入校验，导致恶意构造的URL可以通过 open函数直接传递给系统shell执行。攻...