CVE-2021-23758 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ajax.NET Professional (AjaxPro) 存在**反序列化任意 .NET 类**的安全漏洞。 💥 **后果**：攻击者可利用该漏洞执行**反序列化攻击**，进而实现**远程代码执行 (RCE)**。

🔍 **缺陷点**：框架在处理反序列化时，未对**任意 .NET 类**进行严格限制。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心问题在于**不安全的反序列化机制**。

📦 **受影响组件**：**AjaxPro.2** (Ajax.NET Professional)。 🌐 **背景**：这是最早可用于 Microsoft ASP.NET 的 AJAX 框架之一。

👑 **权限提升**：攻击者可获得**远程执行代码**的能力。 📊 **数据风险**：CVSS 评分显示，对**机密性 (C:H)**、**完整性 (I:H)** 和 **可用性 (A:H)** 均有**高 (High)** 影响。

🚪 **利用门槛**：**中等**。 📉 **指标**：CVSS 向量显示 **AC:H** (攻击复杂度:高)，但 **PR:N** (所需权限:无) 且 **AV:N** (攻击向量:网络)，意味着无需认证即可通过网络触发。

💻 **现成 Exp**：**有**。 🔗 **PoC 链接**：GitHub 上有专门为此漏洞创建的 POC 仓库 (`numanturle/CVE-2021-23758-POC`)，包含具体的 HTTP POST 请求示例。

🔎 **自查特征**：检查 Web 应用中是否引用了 **AjaxPro.2** 库。 📡 **扫描点**：关注请求头中的 `X-Ajaxpro-Method` 字段，以及 URL 路径中是否包含 `/ajaxpro/` 相关端点。

🛡️ **官方修复**：参考链接指向 GitHub 上的提交记录 (`michaelschwarz/Ajax.NET-Professional`)，表明存在相关的代码修复或讨论。

⚠️ **临时规避**：若无法立即升级，建议**移除或禁用** Ajax.NET Professional 组件。 🚫 **网络层**：在 WAF 或防火墙层面拦截包含 `X-Ajaxpro-Method` 头的可疑请求。

🔥 **优先级**：**高**。 📅 **时间**：2021年12月披露，但鉴于 **RCE** 危害及 **无认证** 即可利用的特性，建议立即排查并修复。