CVE-2025-67744 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:DeepChat 的 Mermaid 图表渲染组件存在跨站脚本 (XSS) 问题。 💥 **后果**:攻击者可利用此漏洞实现 **远程代码执行 (RCE)**,后果极其严重。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。 📍 **缺陷点**:Mermaid 图表渲染逻辑未正确过滤或转义用户输入,导致恶意代码注入。
Q3影响谁?(版本/组件)
📦 **产品**:ThinkInAIXYZ 开源的智能助手 **DeepChat**。 📉 **版本**:**0.5.3 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:远程代码执行,意味着攻击者可能获得服务器最高权限。 📂 **数据**:完全可控,可窃取敏感数据、篡改系统或作为跳板攻击内网。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 📝 **条件**:CVSS 显示 **UI:R**(用户交互),意味着受害者需点击恶意链接或加载恶意图表才能触发。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:目前 **无公开 PoC** 或确凿的在野利用报告。 🔗 **参考**:官方已发布安全公告 (GHSA-w8w8-82pv-5rg9),但社区尚未出现成熟利用工具。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 DeepChat 版本是否 **< 0.5.3**。 📊 **扫描**:监控 Mermaid 渲染组件的输入输出,寻找异常脚本注入特征。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已修复。 🔗 **补丁**:参考 GitHub Commit `b179d979` 及安全公告,请升级至 **0.5.3 或更高版本**。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法立即升级,建议 **禁用 Mermaid 图表渲染功能**。 🚫 **隔离**:限制 DeepChat 的网络访问权限,防止内网横向移动。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📈 **理由**:CVSS 评分极高 (AV:N/AC:L/C:H/I:H/A:H),虽需用户交互,但 RCE 危害巨大,建议 **立即升级**。