CVE-2021-45837 — 神龙十问 AI 深度分析摘要

🚨 **本质**：TerraMaster TOS 存在命令注入漏洞。 🔥 **后果**：攻击者通过构造恶意请求，可直接以 **root** 权限执行任意系统命令，彻底接管服务器。

🛡️ **缺陷点**：位于 `/tos/index.php?app/del` 接口。 ⚠️ **原因**：未对用户输入进行严格过滤，导致恶意代码被系统执行（典型的命令注入/未验证输入）。

📦 **受影响产品**：TerraMaster F4-210、F2-210。 📅 **受影响版本**：TOS 4.2.X，具体包括 **4.2.15-2107141517** 及更早版本。

💀 **权限**：直接获取 **root** 最高权限。 📂 **数据**：可任意读取、修改、删除 NAS 上的所有数据，甚至植入后门。

🚪 **门槛**：较低。 🔑 **认证**：描述暗示通过发送特殊输入即可利用，通常此类接口需具备一定访问权限或存在未授权访问路径，但一旦触发即获 root。

📜 **PoC**：有公开利用代码。 🔗 **来源**：PacketStorm Security 和 That's Not My Site 博客均提供了详细的远程代码执行（RCE）利用指南。

🔍 **自查特征**：检查服务器是否运行 TerraMaster TOS 4.2.15。 🌐 **扫描点**：尝试访问 `/tos/index.php?app/del` 接口，观察是否存在命令注入迹象或版本泄露。

🔧 **官方修复**：数据未提及具体补丁链接。 📢 **建议**：立即联系 TerraMaster 官方获取最新固件更新，或升级至安全版本。

🛡️ **临时规避**： 1. **网络隔离**：禁止该 NAS 直接暴露在互联网。 2. **访问控制**：限制 `/tos/index.php` 的访问 IP。 3. **最小权限**：确保管理账户不使用默认密码。

🚨 **优先级**：**极高**。 ⚡ **理由**：涉及 **Root RCE**，无需复杂条件即可完全控制设备，数据泄露风险极大，需立即处置。