CVE-2021-46424 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件删除漏洞。 💥 **后果**：攻击者可通过 DELETE 请求删除**任何文件**，包括系统内部核心文件，导致设备瘫痪或数据丢失。

🔍 **缺陷点**：未对 DELETE 请求的文件路径进行严格校验。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但属于典型的**路径遍历/权限绕过**类缺陷。

📦 **受影响产品**：Telesquare TLR-2005Ksh。 🇰🇷 **背景**：韩国 Telesquare 公司生产的 SK 电讯 LTE 路由器。 📌 **版本**：仅 **1.0.0** 版本受影响。

🔓 **权限**：远程攻击者无需本地访问。 🗑️ **能力**：可删除**任意文件**。 💣 **危害**：不仅限于用户数据，还能删除**系统内部文件**，造成严重破坏。

🚪 **利用门槛**：**低**。 🌐 **条件**：远程即可利用。 🔑 **认证**：数据未提及需要认证，暗示可能无需登录或认证机制存在缺陷。

🧪 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板已收录。 📂 **链接**：GitHub 上可找到对应的 YAML 检测脚本。

🔎 **自查方法**： 1. 使用 Nuclei 扫描 CVE-2021-46424 模板。 2. 构造 HTTP **DELETE** 请求测试文件删除功能。 3. 检查是否返回成功删除的系统文件。

🛡️ **官方修复**：数据中**未提供**官方补丁链接或修复状态。 ⚠️ **注意**：参考链接指向 Google Drive 和 PacketStorm，多为技术细节分享，非官方公告。

🚧 **临时规避**： 1. **网络隔离**：限制路由器管理接口仅内网访问。 2. **WAF 防护**：拦截针对该设备的异常 DELETE 请求。 3. **权限最小化**：确保管理账户强密码，限制访问源 IP。

⚡ **优先级**：**高**。 📉 **风险**：任意文件删除可直接导致**服务不可用**或**系统崩溃**。 📢 **建议**：立即排查是否运行 1.0.0 版本，若无补丁需紧急实施网络层防护。