CVE-2019-7315 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（目录穿越）。<br>🔥 **后果**：攻击者可绕过权限限制，访问设备受限目录之外的敏感文件。

🛡️ **根本原因**：网络系统/产品未正确过滤资源或文件路径中的**特殊元素**。<br>⚠️ **缺陷点**：输入验证缺失，导致非法路径被解析。

📦 **影响对象**：Genie Access WIP3BVAF WISH IP 3MP IR Auto Focus Bullet Camera。<br>📅 **版本**：**3.0及之前版本**。

💀 **黑客能力**：读取敏感系统文件。<br>📄 **具体案例**：成功读取 **/etc/shadow**（通常包含用户密码哈希），获取最高权限凭证。

🔓 **利用门槛**：低。<br>🌐 **条件**：通过**Web界面**即可触发，无需复杂配置或高权限认证（基于描述推断为远程利用）。

💻 **现成Exp**：有。<br>📂 **来源**：ProjectDiscovery nuclei-templates 提供 YAML 模板，可直接用于自动化扫描和验证。

🔍 **自查方法**：使用支持 LFI 检测的扫描器（如 Nuclei）。<br>🎯 **特征**：尝试访问 **/etc/shadow** 等敏感路径，观察响应是否返回文件内容。

🛠️ **官方修复**：数据未明确提及具体补丁版本。<br>⚠️ **建议**：联系厂商 Genie Access 获取最新固件更新，或确认是否已发布修复版本。

🚧 **临时规避**：若无补丁，建议**限制Web界面访问**。<br>🔒 **措施**：仅允许受信任IP访问，或在前端部署WAF规则拦截路径遍历字符（如 `../`）。

🚨 **优先级**：**高**。<br>⚡ **理由**：涉及核心敏感文件（/etc/shadow）泄露，且利用简单，极易被自动化脚本批量利用。