CVE-2020-35665 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TerraMaster TOS 存在**操作系统命令注入**漏洞。 🔥 **后果**：攻击者可利用 **shell 元字符** 执行任意系统命令，直接控制服务器。

🔍 **缺陷点**：在 **CSV 创建过程**中，`makecvs.php` 的事件参数未经验证。 🧬 **CWE**：数据中未提供具体 CWE ID，但属于典型的**未验证输入导致的命令注入**。

📦 **受影响产品**：TerraMaster TOS 操作系统。 📅 **版本范围**：**4.2.06 版本及之前**的所有版本。

💀 **黑客能力**：获得**远程代码执行 (RCE)** 权限。 📂 **数据风险**：可完全控制 NAS 服务器，窃取或篡改所有存储数据。

🚪 **利用门槛**：**低**。 🔑 **认证要求**：参考链接显示为 **Unauthenticated**（无需认证），攻击者可直接远程利用。

💣 **现成 Exp**：**有**。 📎 **来源**：Exploit-DB (ID: 49330)、PacketStorm、Pentest.com.tr 均提供利用代码。

🔎 **自查方法**： 1. 检查 TOS 版本是否 **≤ 4.2.06**。 2. 扫描是否存在 `makecvs.php` 接口。 3. 测试 CSV 创建参数是否过滤 shell 元字符。

🛡️ **官方修复**：数据中**未提及**官方补丁链接或具体修复版本。 ⚠️ 建议立即联系厂商获取最新安全更新。

🚧 **临时规避**： 1. **禁用**或限制 `makecvs.php` 的访问。 2. 在 WAF 中拦截包含 **shell 元字符** 的 CSV 创建请求。 3. 隔离 NAS 网络，限制外部访问。

⚡ **优先级**：**极高 (Critical)**。 📢 **建议**：由于存在**无需认证**的 RCE 且 Exp 公开，请立即升级或采取网络隔离措施！