CVE-2025-47777 — 神龙十问 AI 深度分析摘要

🚨 **本质**：5ire 桌面 AI 助手存在**输入验证错误**。 💥 **后果**：因清理不足导致**存储型 XSS**，且可能通过不安全的 Electron 协议处理引发**远程代码执行 (RCE)**。

🔍 **CWE**：CWE-20 (输入验证不当)。 📍 **缺陷点**：对输入数据的**清理不足**，以及 Electron 协议处理机制存在安全隐患。

📦 **产品**：5ire (Ironben 开发的跨平台桌面 AI 助手)。 🏢 **厂商**：nanbingxyz。 📅 **版本**：**0.11.1 之前**的所有版本均受影响。

👑 **权限**：攻击者可获取**高权限**，甚至实现**远程代码执行**。 📊 **数据**：可窃取敏感数据，完全控制受害者的桌面环境。

🚪 **门槛**：**中等**。 ⚙️ **配置**：CVSS 显示 **UI:R** (用户交互)，意味着需要用户点击或触发恶意内容，无需认证 (PR:N)。

🧪 **Exp**：当前 **PoC 为空** (pocs: [])。 🌍 **在野**：暂无公开在野利用报告，但存在相关技术博客参考 (positive.security)。

🔎 **自查**：检查是否运行 **5ire < 0.11.1** 版本。 🛡️ **扫描**：关注 Electron 应用的**协议处理逻辑**及输入过滤机制。

🩹 **补丁**：官方已发布修复。 🔗 **参考**：GitHub Commit `56601e0` 及安全公告 GHSA-mr8w-mmvv-6hq8 提供了修复方案。

🛑 **临时规避**：若无法升级，请**禁用 Electron 不安全协议**，严格过滤输入，避免点击来源不明的链接或内容。

⚡ **优先级**：**高**。 📈 **理由**：CVSS 评分高 (C:H/I:H/A:H)，涉及 RCE 风险，建议**立即升级**至 0.11.1 或更高版本。