一、 漏洞 CVE-2026-23733 基础信息

                                        # Lobe Chat XSS漏洞可能升级为RCE

## 概述
LobeChat 是一个开源聊天应用平台。在版本 2.0.0-next.180 之前，其 Mermaid 图表渲染器存在存储型跨站脚本（Stored XSS）漏洞，可被利用实现远程代码执行（RCE）。

## 影响版本
- 受影响版本：低于 2.0.0-next.180 的所有版本  
- 修复版本：2.0.0-next.180

## 细节
- 漏洞位于 Mermaid 内容渲染组件，攻击者可构造恶意 Mermaid 代码注入并存储 JavaScript 脚本。
- 用户查看含有恶意内容的图表时，脚本在应用上下文中执行，触发 Stored XSS。
- 由于应用使用 Electron 并暴露 `electronAPI` IPC 通信接口，攻击者可利用该接口调用系统级功能。
- 成功利用 XSS 可通过 `electronAPI` 执行任意系统命令，实现远程代码执行（RCE）。

## 影响
- 攻击者可完全控制客户端机器，执行任意系统命令。
- 漏洞允许持久化恶意代码存储，影响所有查看受感染内容的用户。
- 本地用户权限下的任意代码执行，可能导致数据泄露、系统被控或横向移动。
                                        

二、漏洞 CVE-2026-23733 的公开POC

三、漏洞 CVE-2026-23733 的情报信息

• 标题： Cross-Site Scripting(XSS) escalate to Remote Code Execution(RCE) · Advisory · lobehub/lobe-chat · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          该漏洞的关键信息如下：
  
  - **漏洞类型**: 跨站脚本（XSS）升级为远程代码执行（RCE）
  - **严重性**: 关键（Critical），CVSS v3 基础评分为 9.7/10，涉及到威胁攻击的向量为网络，复杂度为低，无需特权
  - **漏洞来源**: lobehub/lobe-chat
  - **受影响版本**: <= v2.0.0-next.179
  - **修复版本**: v2.0.0-next.180
  - **CVE编号**: CVE-2026-23733
  - **漏洞细节**:
    - 漏洞存在于Mermaid图表渲染器中的Renderer组件，该组件负责在聊天中渲染Mermaid图表。
    - 来自用户或AI生成的消息的内容变量直接传递给Mermaid组件，不进行任何清理或验证。
    - 如果内容包含恶意HTML标签，它们将被执行，导致存储型XSS漏洞。
    - 在桌面版本中，应用程序通过contextBridge暴露一个特权IPC桥，使渲染器进程能够调用系统命令，从而升级为RCE漏洞。
    - 攻击者可以注入恶意的Mermaid图，执行JavaScript，调用window.electronAPI.invoke，以运行任意系统命令，实现完全的远程代码执行。
  - **PoC**: 给出了相关细节的代码内容与文字内容。
  - **影响**: 远程代码执行（RCE），意味着攻击者可以远程控制受影响的系统。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-23733

四、漏洞 CVE-2026-23733 的评论