CVE-2025-66222 — 神龙十问 AI 深度分析摘要

🚨 **本质**：DeepChat 代码注入漏洞。源于 Mermaid 图表渲染器的**存储型 XSS**。后果严重，可能导致**远程代码执行 (RCE)**，系统彻底沦陷。

🔍 **根本原因**：**CWE-94**（代码注入）。缺陷点在于**Mermaid 图表渲染器**未对输入进行严格过滤，导致恶意代码被存储并执行。

🎯 **影响范围**：**ThinkInAIXYZ** 出品的 **DeepChat** 智能助手。受影响版本：**0.5.0 及之前版本**。

💀 **黑客能力**：凭借 **CVSS 9.8** 的高危评分，攻击者可获取**高权限**。可完全控制**机密性、完整性、可用性**，实现远程代码执行。

⚠️ **利用门槛**：**低**。攻击向量网络 (AV:N)，攻击复杂度低 (AC:L)。仅需**用户交互** (UI:R)，无需认证 (PR:N) 即可触发。

📦 **Exp 现状**：当前公开数据中 **PoC 为空**。暂无明确在野利用报告，但鉴于漏洞性质，需警惕潜在利用。

🔎 **自查方法**：检查 DeepChat 版本是否 **≤ 0.5.0**。扫描 Mermaid 渲染模块是否存在存储型 XSS 特征。关注 GitHub 安全公告。

🛡️ **官方修复**：**已修复**。参考 GitHub 安全公告 **GHSA-v8v5-c872-mf8r** 及提交记录 **371ca7b**。请立即升级至安全版本。

🚧 **临时规避**：若无法立即升级，建议**禁用 Mermaid 图表渲染功能**，或对输入进行严格的**白名单过滤**，防止恶意脚本注入。

🔥 **优先级**：**极高 (P0)**。CVSS 3.1 评分高达 **9.8**，且涉及 RCE。建议**立即**更新补丁，消除远程代码执行风险。