CVE-2020-35846 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Agentejo Cockpit 存在 **NoSQL注入** 漏洞（虽标题写SQL，描述明确为NoSQL）。<br>🔥 **后果**：攻击者可 **泄露用户名**，甚至通过链式攻击实现 **远程代码执行 (RCE)**，彻底接管服务器。

🛠️ **缺陷点**：位于控制器 `Auth.php` 的 **check 函数**。<br>⚠️ **原因**：未对用户输入进行严格过滤，直接拼接至 NoSQL 查询中，导致恶意构造的 `$eq` 操作符匹配任意文档。

🎯 **目标**：**Agentejo Cockpit** 内容管理系统。<br>📉 **版本**：**0.11.2 之前** 的所有版本（如 0.11.1 等）。

💀 **黑客能力**：<br>1. **信息泄露**：窃取所有 Cockpit 用户账号。<br>2. **权限提升**：利用泄露信息重置密码。<br>3. **RCE**：最终实现 **远程代码执行**，完全控制服务器。

📶 **门槛**：**低**。<br>🔑 **认证**：利用发生在认证检查环节，通常无需高级权限即可触发初始注入。<br>⚙️ **配置**：默认配置下即可利用，无需特殊环境。

📦 **有现成Exp**：<br>✅ **Python PoC**：GitHub 上有 John Hammond 编写的泄露用户名脚本。<br>✅ **RCE Exploit**：0z09e 提供了从注入到 RCE 的完整利用链脚本。<br>✅ **Nuclei 模板**：ProjectDiscovery 已收录检测模板。

🔍 **自查方法**：<br>1. **扫描**：使用 Nuclei 模板 `CVE-2020-35846.yaml` 进行自动化扫描。<br>2. **特征**：检查 `Auth.php` 的 check 接口，观察是否响应异常或泄露用户数据。<br>3. **版本核对**：确认系统版本是否 < 0.11.2。

🛡️ **官方修复**：**已修复**。<br>📝 **补丁**：Agentejo 在 GitHub 上发布了修复提交（如 commit `33e7199` 等），建议立即升级至 **0.11.2 或更高版本**。

🚧 **临时规避**：<br>1. **升级**：最优先方案。<br>2. **WAF**：部署 WAF 拦截包含 `$eq` 或特殊 NoSQL 操作符的 POST 请求。<br>3. **访问控制**：限制 `/api/auth` 等接口的 IP 访问权限。

🚨 **优先级**：**极高 (Critical)**。<br>⚡ **理由**：存在 **RCE 利用链**，且 PoC 公开可用。攻击成本低，危害极大（服务器沦陷），建议 **立即修复**。