CVE-2020-28429 — 神龙十问 AI 深度分析摘要

🚨 **本质**：`geojson2kml` 模块存在**命令注入**漏洞。 💥 **后果**：攻击者可执行任意系统命令，导致服务器被控或数据泄露。

🔍 **缺陷点**：`index.js` 文件处理不当。 📉 **CWE**：数据中未提供具体 CWE ID，但核心为**命令注入**。

📦 **组件**：`geojson2kml` (Node.js 模块)。 🏷️ **厂商**：开源项目 (n/a)。 📅 **披露**：2021-02-23。

👑 **权限**：以**应用运行身份**执行命令。 📂 **数据**：可读取/修改服务器文件，甚至完全控制主机。

🚪 **门槛**：**低**。 🔑 **条件**：无需认证 (PR:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。

💻 **Exp**：有现成检测模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板，通过创建 `hacked.txt` 验证。

🔎 **自查**：检查是否使用 `geojson2kml` 模块。 🧪 **验证**：尝试注入命令，看是否生成包含预期内容的 `hacked.txt`。

🛡️ **修复**：数据未提供具体补丁版本或缓解措施。 ⚠️ **建议**：需查阅官方仓库或依赖管理工具 (如 Snyk) 获取更新。

🚧 **规避**：升级至安全版本。 🛑 **临时**：若无法升级，限制输入源，避免将不可信 GeoJSON 数据直接传入该模块。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1 评分，向量显示网络可攻击、无需权限，危害等级为 **L (低)** 但影响面大，建议立即处理。