CVE-2017-14135 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入（OS Command Injection） 💥 **后果**：远程攻击者可执行**任意系统命令**，彻底接管设备控制权。

🛡️ **缺陷点**：`Script.py` 文件未对用户输入进行严格过滤。 🔍 **CWE**：数据中未明确指定，但属于典型的**输入验证缺失**。

📦 **受影响组件**：OpenDreambox 2.0.0 中的 **webadmin 插件**。 📂 **关键文件**：`enigma2-plugins/blob/master/webadmin/src/WebChilds/Script.py`。

👑 **黑客能力**：获取**最高权限**（Root/System Level）。 📊 **数据风险**：可读取、修改、删除系统所有数据，甚至植入后门。

🚪 **利用门槛**：**极低**。 🌐 **条件**：无需认证，直接通过 `/script` URL 发送带有 **Shell 元字符** 的 `command` 参数即可触发。

💻 **现成Exp**：**有**。 🔗 **来源**：ProjectDiscovery Nuclei 模板已收录，可直接用于自动化扫描和验证。

🔎 **自查方法**： 1. 扫描目标是否运行 OpenDreambox 2.0.0。 2. 探测 `/script` 接口是否存在命令注入点。 3. 使用 Nuclei 模板 `CVE-2017-14135.yaml` 进行快速验证。

🩹 **官方修复**：数据中**未提及**具体补丁版本或修复时间。 ⚠️ **注意**：该漏洞发布于 2017 年，建议检查是否已升级至安全版本。

🛡️ **临时规避**： 1. **禁用** webadmin 插件或 `/script` 接口。 2. 在防火墙层**阻断**外部对 `/script` URL 的访问。 3. 严格过滤输入中的 Shell 元字符（如 `;`, `|`, `&`）。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：远程无认证 RCE，危害极大。建议**立即**隔离受影响设备或实施缓解措施。