CVE-2018-17456 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Git 参数注入漏洞。 💥 **后果**：外部输入未过滤特殊字符，导致攻击者执行**非法命令**。

🛡️ **CWE**：数据未提供。 🔍 **缺陷点**：构造命令参数时，**未正确过滤**参数中的特殊字符。

📦 **组件**：Git (分布式版本控制系统)。 📉 **受影响版本**： - 2.14.5 之前 - 2.15.x (2.15.3 之前) - 2.16.x (2.16.5 之前) - 2.17.x (2.17.2 之前) - 2.18.x (2.18.1 之前) - 2.19.x (2.19.1 之前)

💻 **黑客能力**：执行**非法命令**。 🔓 **权限**：取决于 Git 进程运行权限，可能获取系统控制权。

🚪 **利用门槛**：数据未明确认证要求。 ⚙️ **关键条件**：需存在**外部输入数据**构造命令参数的场景。

💣 **Exp/PoC**：有。 🔗 **来源**：GitHub 多个仓库 (如 shpik-kr, matlink, 799600966 等) 提供 1-day 或复现代码。

🔍 **自查方法**： 1. 检查 Git 版本是否在**受影响列表**内。 2. 扫描是否存在未过滤特殊字符的参数注入点。

🩹 **官方修复**：已修复。 📅 **时间**：2018-10-06 发布相关 advisories (如 RedHat RHSA-2018:3505) 及 Git 源码补丁。

🛑 **临时规避**： - 升级 Git 至安全版本。 - 严格过滤外部输入的特殊字符。 - 限制 Git 命令执行权限。

⚡ **优先级**：**高**。 💡 **建议**：远程代码执行风险，建议立即**升级**或应用补丁。