CVE-2022-0482 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权的个人身份信息（PII）泄露。 💥 **后果**：攻击者可无需登录即可查看预约事件详情，导致用户隐私数据大规模暴露。

🔍 **CWE ID**：CWE-359（指定安全上下文中的不安全操作）。 📝 **缺陷点**：权限控制逻辑缺失，导致未认证用户也能访问敏感资源。

📦 **产品**：Easy!Appointments（基于Web的预约/日程管理系统）。 🏢 **厂商**：alextselegidis。 📉 **版本**：**< 1.4.3** 的所有版本均受影响。

🕵️ **黑客能力**：直接读取**未认证的预约事件数据**。 📂 **数据风险**：获取包含个人身份信息（PII）的日程安排，严重侵犯隐私。

📶 **利用门槛**：**极低**。 🔓 **认证要求**：**无需认证**（Unauthenticated），任何互联网用户均可直接访问漏洞接口。

💻 **现成Exp**：**有**。 🔗 **来源**：GitHub 上已有 Ruby 脚本 PoC（如 Acceis/exploit-CVE-2022-0482）。 🌍 **在野**：已有安全研究人员公开利用代码及学术项目分析。

🔎 **自查特征**：检查系统是否为 Easy!Appointments 且版本低于 1.4.3。 🛠️ **扫描工具**：可使用 Nuclei 模板（CVE-2022-0482.yaml）进行自动化检测。

🛡️ **官方修复**：**已修复**。 📌 **方案**：升级至 **1.4.3 或更高版本**。 🔗 **参考**：GitHub 提交记录 44af526a6fc5e898bc1e0132b2af9eb3a9b2c466。

⚠️ **临时规避**：若无法立即升级，建议**限制访问权限**（如仅允许内网或特定IP访问）。 🚫 **网络隔离**：暂时关闭该服务的公网暴露面，防止未授权访问。

🚨 **优先级**：**高**。 ⚡ **理由**：无需认证即可泄露隐私数据，且已有公开 Exp，风险极高，建议**立即升级**补丁。