CVE-2021-41291 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal）。 💥 **后果**：攻击者可远程**披露**设备上的目录内容，导致敏感信息泄露。

🔍 **CWE**：CWE-22（路径遍历）。 📍 **缺陷点**：File Manager (fmangersub) 模块中的 `cpath` GET 参数未做严格校验。

🏢 **厂商**：ECOA (Ecoa Technologies Corp)。 📦 **产品**：Ecoa BAS controller / ECS Router Controller ECS (FLASH)。

👁️ **能力**：读取受影响设备上的**目录列表**。 📂 **数据**：虽然未直接提及文件内容读取，但目录结构泄露本身即为高危信息泄露。

🔓 **认证**：**无需身份验证** (PR:N)。 🌐 **网络**：远程可利用 (AV:N)。 ⚡ **难度**：低 (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei Templates (`CVE-2021-41291.yaml`)。

🔎 **自查**：构造请求访问 `fmangersub` 接口。 📝 **参数**：使用 `GET` 方法并传入 `cpath` 参数，观察是否返回非预期的目录列表。

🛡️ **状态**：数据中未提供官方补丁链接或具体修复版本信息。 ⚠️ **注意**：需联系厂商 ECOA 获取最新安全更新。

🚧 **规避**： 1. **网络隔离**：限制该控制器对公网的访问。 2. **WAF规则**：拦截包含 `../` 或异常 `cpath` 参数的请求。 3. **最小权限**：确保 File Manager 功能仅在内网可信环境使用。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N。 💡 **理由**：无认证、远程、低难度即可导致**高**机密性泄露，建议立即排查。