CVE-2018-19365 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞。 📉 **后果**：攻击者能绕过限制，访问服务器**受限目录之外**的文件，导致敏感信息泄露。

🔍 **缺陷点**：资源或文件路径过滤失败。 🚫 **CWE**：数据未提供具体 CWE ID，但核心是**特殊元素未正确过滤**。

🎯 **目标**：Wowza Streaming Engine。 📦 **版本**：明确影响 **4.7.4.01** 版本。

💀 **黑客能力**：通过 REST API 发送特制 HTTP 请求。 📂 **获取数据**：遍历目录结构，**读取任意文件**（如配置文件、源码等）。

⚡ **利用门槛**：低。 🌐 **方式**：远程即可利用，通过构造恶意 HTTP 请求触发，无需复杂本地交互。

📜 **PoC 情况**：有现成模板。 🔗 **来源**：ProjectDiscovery nuclei-templates 提供 YAML 格式的利用模板，便于自动化扫描。

🔎 **自查方法**：使用 Nuclei 等扫描工具。 🧪 **特征**：检测针对 REST API 的路径遍历请求，观察是否返回非预期的文件内容。

🛡️ **官方修复**：数据未提及具体补丁版本或修复状态。 📝 **建议**：参考官方 CVE 文档（WowzaMediaSystems/public_cve）获取最新修复指引。

🚧 **临时规避**：限制 REST API 访问权限。 🔒 **措施**：仅允许受信任 IP 访问管理接口，或部署 WAF 拦截路径遍历字符（如 `../`）。

🔥 **优先级**：高。 ⚠️ **理由**：远程可触发，直接导致**文件读取**，且已有自动化 PoC，极易被大规模扫描利用。