CVE-2021-3223 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Node-RED-Dashboard 存在**路径遍历漏洞**。\n💥 **后果**：攻击者可通过构造恶意路径，**遍历目录**读取服务器本地文件，导致敏感信息泄露。

🔍 **缺陷点**：未对用户输入的**文件路径**进行严格校验。\n📉 **CWE**：数据中未提供具体 CWE ID，但属于典型的**路径遍历/本地文件包含**类缺陷。

📦 **组件**：Node-RED-Dashboard。\n📅 **版本**：**2.26.2 之前**的所有版本均受影响。\n🏢 **厂商**：数据中标记为 n/a，实际为 Node-RED 社区项目。

🕵️ **黑客能力**：利用 `..%2f` 等遍历序列，**读取任意本地文件**。\n📂 **数据风险**：可能获取配置文件、源码、密钥等敏感数据，权限取决于运行 Node-RED 的用户权限。

🔓 **利用门槛**：**低**。\n🔑 **认证**：通常无需复杂认证，直接通过 HTTP 请求即可触发。\n⚙️ **配置**：只要服务暴露且版本低于 2.26.2，即可尝试利用。

🧪 **PoC 状态**：**有现成模板**。\n🔗 **来源**：ProjectDiscovery Nuclei 模板已收录 (`CVE-2021-3223.yaml`)。\n🌍 **在野利用**：数据未明确提及大规模在野利用，但工具链已就绪。

🔎 **自查特征**：检查请求中是否包含 `ui_base/js/..%2f` 等路径遍历特征。\n🛠️ **扫描建议**：使用 Nuclei 或类似工具扫描 Node-RED Dashboard 接口，确认版本是否低于 2.26.2。

🛡️ **官方修复**：**已修复**。\n📦 **补丁版本**：**2.26.2** 及更高版本。\n🔗 **详情**：参考 GitHub Issues #669 及 Release 2.26.2 公告。

⚠️ **临时规避**：\n1️⃣ **升级**：立即升级至 2.26.2+。\n2️⃣ **隔离**：若无法升级，限制 Dashboard 访问权限，仅允许内网或可信 IP 访问。\n3️⃣ **WAF**：配置 WAF 拦截包含 `..%2f` 或 `../` 的恶意请求。

🚀 **优先级**：**高**。\n💡 **见解**：路径遍历是高危漏洞，且 PoC 公开。建议**立即升级**，避免服务器文件被非法读取导致二次入侵。