CVE-2013-10047 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MiniWeb HTTP server 文件上传处理不当。 💥 **后果**：攻击者可上传恶意文件，直接导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-434 (Unrestricted Upload of File with Dangerous Type)。 📉 **缺陷**：未对上传文件的类型或内容进行有效校验，允许上传可执行脚本。

🎯 **厂商**：MiniWeb (stanleyhuang)。 📦 **版本**：**Build 300 及之前版本**均受影响。

👑 **权限**：获得服务器 **SYSTEM/最高权限**。 📂 **数据**：可完全控制服务器，窃取数据、植入后门或组建僵尸网络。

📶 **门槛**：**低**。 🔓 **认证**：通常无需认证即可利用（基于HTTP服务特性），配置不当即可触发。

💣 **Exp**：**有**。 🔗 来源：Exploit-DB (27607) 及 Metasploit 模块 (`miniweb_upload_wbem.rb`)。

🔎 **自查**：扫描开放 **80/8080** 端口的 MiniWeb 服务。 📝 **特征**：检测是否存在未授权的文件上传接口或特定上传路径。

🛡️ **补丁**：数据未提供具体补丁链接。 ✅ **建议**：升级至 **Build 301+** 或最新稳定版，若已停止维护则需替代方案。

🚧 **规避**： 1. **禁用**文件上传功能。 2. 配置 **WAF** 拦截恶意文件类型。 3. 限制服务器访问 IP 白名单。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ 因存在现成 Exp 且后果为 RCE，建议 **立即** 修复或隔离。