CVE-2026-26266 — 神龙十问 AI 深度分析摘要

🚨 **本质**：AliasVault 邮箱渲染功能存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入恶意脚本，导致 **存储型 XSS**，窃取用户敏感数据或接管会话。

🔍 **CWE**：CWE-79 (跨站脚本)。 🐛 **缺陷点**：HTML 内容在 `<iframe>` 中使用 `srcdoc` 渲染，但 **未提供源隔离**，导致恶意代码可执行。

🎯 **受影响产品**：AliasVault 密码管理器。 📦 **版本范围**：**0.25.3 及之前版本**（包括 0.25.3）。

🕵️ **黑客能力**： - 执行任意 JavaScript。 - 窃取 **Cookie/Session**。 - 读取/篡改用户存储的 **密码数据**。 - 模拟用户操作。

🚧 **利用门槛**： - **UI:R** (用户交互)：受害者需点击恶意链接或查看恶意邮件。 - **PR:N** (无需权限)：无需登录即可触发（针对存储型，可能只需访问特定页面）。 - **AC:L** (低复杂度)：利用简单。

📜 **Exp/PoC**：当前 **无公开 PoC** 或 **在野利用** 报告。 🔗 参考：GitHub 安全公告已确认漏洞存在。

🔎 **自查方法**： - 检查版本是否 **≤ 0.25.3**。 - 审查代码中 `<iframe srcdoc>` 的使用，确认是否缺少 **sandbox** 属性或源隔离策略。 - 扫描邮件渲染模块的 HTML 输出是否经过严格过滤。

🛡️ **官方修复**：**已修复**。 ✅ **补丁版本**：**0.26.0**。 🔗 详情：GitHub Release 0.26.0 及对应 Commit。

⚠️ **临时规避**： - **升级**至 0.26.0 是唯一推荐方案。 - 若无法升级，禁用邮件 HTML 渲染功能，或强制使用纯文本模式。 - 实施严格的 **CSP (内容安全策略)** 限制 iframe 行为。

🔥 **优先级**：**高**。 💡 **理由**：CVSS 评分高 (C:H, I:H)，涉及 **密码管理器** 核心安全，且为 **存储型 XSS**，危害持久且严重。建议立即升级。