CVE-2026-22792 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:不安全的HTML渲染导致恶意代码注入。 💥 **后果**:攻击者可执行任意JavaScript,甚至实现**远程命令执行 (RCE)**,彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-116**:不正确的编码或转义。 📍 **缺陷点**:5ire 在处理 HTML 时未做严格过滤,允许**不受信任的 HTML** 直接执行。
Q3影响谁?(版本/组件)
📦 **产品**:5ire (跨平台桌面AI助手)。 👤 **厂商**:nanbingxyz (Ironben个人开发者)。 ⚠️ **版本**:**0.15.3 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:可获取用户当前上下文权限。 📊 **数据**:可执行任意系统命令,窃取敏感数据、安装后门或控制整个桌面环境。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 👀 **UI:R**:需要用户交互(如点击恶意链接/内容)。 🔑 **PR:N**:**无需认证**,任何接触该应用的人都是潜在目标。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:暂无公开代码。 🌍 **在野**:数据未显示已有大规模利用。 🔗 **详情**:参考 GitHub 安全公告 [GHSA-p5fm-wm8g-rffx](https://github.com/nanbingxyz/5ire/security/advisories/GHSA-p5fm-wm8g-rffx)。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查应用版本是否 < 0.15.3。 📡 **扫描**:监测是否有异常的 HTML 注入行为或可疑的 JS 执行日志。
Q8官方修了吗?(补丁/缓解)
🛡️ **已修复**:是的。 📥 **补丁**:升级至 **v0.15.3** 或更高版本。 🔗 **下载**:[v0.15.3 Release](https://github.com/nanbingxyz/5ire/releases/tag/v0.15.3)。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **禁用**不可信来源的 HTML 内容渲染。 2. 在升级前,**限制**应用的网络权限或沙箱运行。 3. 警惕来自不明来源的 AI 助手回复内容。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📈 **CVSS**:9.8 (Critical)。 💡 **建议**:立即升级!RCE 风险极大,切勿拖延。