CVE-2025-58361 — 神龙十问 AI 深度分析摘要

🚨 **本质**：URL方案检查不完整。 💥 **后果**：导致 **跨站脚本攻击 (XSS)**。 ⚠️ 攻击者可注入恶意脚本，危害用户安全。

🔍 **CWE**：CWE-20 (输入验证不当)。 📍 **缺陷点**：对 **URL方案 (URL Scheme)** 的校验逻辑存在漏洞，未能有效过滤危险协议。

👥 **受影响者**：使用 **Promptcraft Forge Studio** 的用户。 🏢 **厂商**：Marcelo Tessaro (个人开发者)。 📦 **组件**：该开发者工具包。

🕵️ **黑客能力**：执行任意 **JavaScript** 代码。 📊 **数据风险**：窃取 **Cookie/Session**、劫持用户操作、重定向至恶意页面。 🔓 **权限**：利用受害者身份进行非法操作。

📉 **门槛**：**低**。 🔑 **认证**：无需认证 (PR:N)。 🖱️ **交互**：需用户交互 (UI:R)，如点击恶意链接。 🌐 **网络**：远程利用 (AV:N)。

📜 **Exp状态**：暂无公开 PoC (pocs为空)。 🌍 **在野利用**：未知。 🔗 **参考**：GitHub 安全公告已确认漏洞存在。

🔎 **自查方法**： 1. 检查代码中 **URL解析** 逻辑。 2. 审查是否对 `http`, `https`, `javascript` 等协议做了严格白名单校验。 3. 扫描输入点是否直接拼接 URL 方案。

🛡️ **官方修复**：GitHub 已发布安全公告 (GHSA-fjch-4g87-g4p4)。 ✅ **建议**：查看公告获取最新补丁或代码更新指引。

🚧 **临时规避**： 1. **严格过滤**：在服务器端对 URL 方案进行白名单限制。 2. **输入清洗**：移除或转义危险的 URL 前缀。 3. **CSP策略**：部署严格的 **内容安全策略 (CSP)** 限制脚本执行。

🔥 **优先级**：**高**。 📈 **CVSS**：7.5 (高危)。 💡 **建议**：立即审查代码，修复 URL 校验逻辑，防止 XSS 攻击。