CVE-2020-28188 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TerraMaster TOS 存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可远程执行任意系统命令，完全控制服务器。

🔍 **缺陷点**：`/include/makecvs.php` 文件中的 **Event 参数** 未做严格过滤。 📉 **CWE**：数据中未提供具体 CWE ID，但属于典型的注入类缺陷。

📦 **受影响产品**：TerraMaster TOS（铁威马 NAS 操作系统）。 📅 **版本范围**：**4.2.06 及之前版本**。

👑 **权限**：远程未认证攻击者。 📂 **数据/能力**：可执行 **任意 OS 命令**，可能导致数据泄露、服务器被控或组建僵尸网络。

🔓 **门槛**：**极低**。 ✅ **认证**：**无需认证**（Unauthenticated）。 🌐 **位置**：远程可利用（Remote）。

📜 **PoC**：有现成利用代码。 🔗 **来源**：ProjectDiscovery Nuclei 模板、Awesome-POC 仓库均有收录。 🌍 **在野**：Checkpoint 研究指出被用于组建僵尸网络（Freakout）。

🔎 **自查特征**：访问 `/include/makecvs.php` 并注入恶意 **Event 参数**。 🛠 **工具**：使用 Nuclei 模板 `http/cves/2020/CVE-2020-28188.yaml` 进行扫描。

🛡️ **官方修复**：数据中未提及具体补丁链接，但指出存在漏洞。 💡 **建议**：升级至 **4.2.06 之后** 的安全版本。

🚧 **临时规避**： 1. **网络隔离**：禁止公网访问 NAS 管理界面。 2. **WAF 防护**：拦截包含特殊字符的 `Event` 参数请求。 3. **最小权限**：限制 Web 服务运行权限。

⚡ **优先级**：**高危/紧急**。 📉 **理由**：无需认证 + 远程代码执行 + 已在野利用（僵尸网络）。建议 **立即修复**。