CVE-2020-12116 — 神龙十问 AI 深度分析摘要

🚨 **本质**：目录遍历漏洞（Directory Traversal） 💥 **后果**：攻击者可读取服务器上的**任意文件**，包括敏感配置和密钥。

🔍 **缺陷点**：路径验证缺失 ⚠️ **CWE**：数据中未提供具体 CWE ID，但本质为**不安全的直接对象引用**或**路径遍历**。

📦 **受影响组件**：ZOHO ManageEngine OpManager 📅 **版本范围**： - Stable build **< 124196** - Released build **< 125125**

🕵️ **黑客能力**： - 读取**任意文件** - 获取 **SSH 私钥** - 读取含密码的 **Java Keystores** - 窃取**数据库密码**及**私钥证书**

🚪 **利用门槛**：**极低** 🔓 **认证**：**无需认证**（Unauthenticated） 📝 **条件**：发送特制请求即可触发。

💻 **PoC 状态**：有现成代码 🔗 参考：GitHub 上的 `CVE-2020-12116` PoC 及 Nuclei 模板。 🌍 **在野利用**：数据未明确提及，但 PoC 已公开。

🔎 **自查方法**： 1. 检查 OpManager 版本是否低于 124196/125125。 2. 使用 Nuclei 模板扫描。 3. 尝试构造目录遍历请求测试文件读取。

🛡️ **官方修复**：已发布补丁 📌 **参考链接**：ManageEngine 官方 ReadMe 文档（build 125125 及以后版本已修复）。

⚠️ **临时规避**： - 若无法升级，建议**限制访问权限**。 - 配置 WAF 拦截目录遍历特征。 - 确保服务**不暴露**在公网。

🔥 **优先级**：**高** 💡 **理由**：无需认证即可读取核心敏感文件（密钥/密码），直接威胁系统安全，建议**立即升级**。