CVE-2025-66580 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Dive 应用中的 Mermaid 图表渲染组件存在缺陷，允许注入并执行 **任意 JavaScript**。 💥 **后果**：攻击者可利用此漏洞实现 **远程代码执行 (RCE)**，彻底控制目标系统。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：**Mermaid 图表渲染器** 未对用户输入或恶意脚本进行有效过滤，导致脚本直接执行。

📦 **产品**：Dive (OpenAgentPlatform 开源 MCP 主机桌面应用)。 📅 **版本**：**0.11.1 之前** 的所有版本均受影响。

👑 **权限**：攻击者可获得与应用程序相同的 **系统权限**。 📂 **数据**：可完全读取、修改或删除本地数据，甚至安装恶意软件，造成 **高机密性/完整性/可用性损失**。

🚪 **门槛**：**中等**。 👤 **UI 交互**：CVSS 标记为 **UI:R** (用户交互)，意味着受害者可能需要点击恶意链接或打开包含恶意图表的文件才能触发。

📜 **Exp**：根据当前数据，**暂无** 公开的 PoC 或确凿的在野利用报告。 🔗 **参考**：详见 GitHub 安全公告 GHSA-xv8m-365j-x6h2。

🔎 **自查**：检查 Dive 应用版本是否 **< 0.11.1**。 📊 **特征**：关注应用中加载的 **Mermaid 图表** 来源，若来源不可信，存在被注入风险。

🛡️ **修复**：官方已发布安全公告。 ✅ **方案**：请升级至 **0.11.1 或更高版本** 以修复 Mermaid 渲染组件的安全缺陷。

⚠️ **临时规避**：若无法立即升级，请 **禁用 Mermaid 图表渲染功能**（如果支持）。 🚫 **策略**：严格限制从不可信来源加载包含图表的数据，避免点击可疑链接。

🔥 **优先级**：**高**。 📉 **CVSS**：9.8 (Critical)。 💡 **建议**：鉴于 RCE 危害极大，建议 **立即升级** 或采取严格的输入隔离措施，切勿掉以轻心。