CVE-2018-6849 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WebRTC 组件泄露隐私 IP。 💥 **后果**：攻击者通过 STUN 请求，绕过匿名保护，获取你的**私有 IP 地址**，导致匿名失效。

🔍 **缺陷点**：WebRTC 组件设计缺陷。 ⚠️ **CWE**：数据未提供具体 CWE ID，但核心是**信息泄露**（Information Leakage）。

📦 **受影响**：DuckDuckGo 浏览器扩展。 📌 **版本**：**4.2.0** 版本中的 WebRTC 组件。

🕵️ **黑客能力**：获取**私有 IP 地址**。 📉 **权限**：无需高权限，利用 WebRTC 协议特性即可在 STUN 交互中窃取本地网络标识。

🚪 **利用门槛**：低。 ⚙️ **配置**：利用 WebRTC 默认行为，无需复杂认证，主要依赖浏览器扩展的组件实现。

💣 **现成 Exp**：有。 🔗 **来源**：Exploit-DB (ID: 44403) 及 Metasploit Framework 均有相关利用代码或参考。

🔎 **自查方法**：检查 DuckDuckGo 扩展版本是否为 **4.2.0**。 🛠️ **工具**：使用支持 WebRTC 泄露检测的工具扫描 STUN 请求响应。

🛡️ **官方修复**：数据未提及具体补丁发布状态。 📅 **时间**：2018-04-01 公布，建议检查是否已升级至修复版本。

🚧 **临时规避**：禁用或限制 WebRTC 功能。 🔒 **措施**：在浏览器设置中阻止 WebRTC 本地 IP 泄露，或升级扩展至安全版本。

⚡ **优先级**：中。 🎯 **建议**：针对隐私敏感用户（如使用匿名扩展者），此漏洞直接破坏核心功能，建议**立即更新**或配置限制。