CVE-2025-58768 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:DeepChat 存在代码注入漏洞。 💥 **后果**:攻击者可直接导致 **命令执行**,严重威胁系统安全。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。 📍 **缺陷点**:`innerHTML` 属性直接渲染了 **用户输入内容**,未做安全过滤。
Q3影响谁?(版本/组件)
📦 **厂商**:ThinkInAIXYZ。 📉 **版本**:**DeepChat 0.3.5 之前** 的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:可获取 **高权限**(CVSS 评分 H)。 📂 **数据**:造成 **机密性** 和 **完整性** 的高危泄露,系统完全失控。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 👤 **条件**:无需认证(PR:N),但需要 **用户交互**(UI:R),即诱导用户点击或操作。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:目前 **无公开 PoC**。 🌍 **利用**:暂无在野利用报告,但风险极高,需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查代码中是否直接使用 `innerHTML` 处理用户数据。 📊 **扫描**:关注 DeepChat 版本是否低于 **0.3.5**。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已发布安全公告(GHSA-f7q5-vc93-wp6j)。 ✅ **建议**:立即升级至 **0.3.5 或更高** 版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无法升级,严禁在 `innerHTML` 中渲染 **不可信用户输入**。 🔒 **替代**:使用安全的 DOM 操作方法(如 `textContent`)替代。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 💡 **见解**:CVSS 向量显示影响全面(C:H/I:H/A:H),建议 **立即行动** 修复。