漏洞关键信息 漏洞描述 标题: Remote Code Execution (RCE) via XSS in Markdown ECharts Rendering 发现者: aiqlcom 发布日期: 9 hours ago 严重性: High (8.9/10) 受影响版本与修复版本 受影响版本: < 1.3.4 修复版本: 1.3.4 影响 描述: 由于Markdown渲染组件中的不安全的跨站脚本(XSS)漏洞,Tuui存在关键的远程代码执行(RCE)漏洞。 影响范围: 攻击者可以通过查看恶意Markdown消息执行任意系统命令。 细节 漏洞原因: 一系列安全配置错误。 1. 不安全的内容安全策略(CSP) 问题: src/renderer/index.html文件启用了unsafe-eval。 影响: 允许执行字符串作为代码,对于当前ECharts的实现是必要的,但没有严格的输入验证则存在风险。 2. 非安全的ECharts执行 问题: MarkdownCard.vue组件使用md-editor-v3渲染Markdown。 影响: 遇到语言为echarts的代码块时,它会将内容评估为JavaScript生成图表配置,没有机制阻止JavaScript访问全局window对象或调用暴露的API。 3. 暴露的特权IPC接口 问题: src/preload/index.ts脚本暴露了ipcRenderer.invoke方法给渲染器进程,通过window.mainApi.invoke。 影响: 主进程注册了一个用于初始化MCP服务器的处理器,接受configuration、command和args参数,并通过child_process.spawn(通过MCP SDK的StdioClientTransport)传递。 修复与缓解措施 补丁: f673fa5 建议升级地址: https://github.com/AI-QL/tuui/releases/tag/v1.3.4 绕过 描述: 只要用户不明确要求AI生成与Echarts相关的代码块,同时不复制代码块中的攻击脚本,问题就可以避免。 弱点 CWE-79 CWE-94 引用 AI-QL/tuui@f673fa5