CVE-2022-24900 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（LFI）。<br>📉 **后果**：攻击者可读取服务器本地敏感文件，导致**信息泄露**和潜在的系统权限提升。

🔍 **CWE-73**：外部控制文件路径或目录。<br>⚠️ **缺陷点**：代码中使用了不安全的 `os.path.join`，未对**不受信任的输入**进行严格校验，导致路径拼接被恶意构造。

📦 **产品**：Piano LED Visualizer。<br>🏢 **厂商**：onlaj。<br>📅 **版本**：**1.3 版本及之前**的所有版本均受影响。

🕵️ **权限**：无需认证（PR:N）。<br>💾 **数据**：可读取**本地文件系统**任意文件（C:H）。<br>🔄 **影响**：可能导致配置泄露、密钥窃取，甚至进一步执行代码。

📉 **门槛极低**。<br>🔓 **认证**：无需登录。<br>🌐 **网络**：远程利用（AV:N）。<br>🎯 **复杂度**：低（AC:L），无需用户交互（UI:N）。

📜 **有现成模板**。<br>🔗 项目discovery/nuclei-templates 已提供 **Nuclei 扫描模板**。<br>🌍 **在野利用**：数据未明确提及大规模在野攻击，但利用代码公开，风险极高。

🔎 **扫描特征**：使用 Nuclei 模板 `CVE-2022-24900.yaml` 进行自动化检测。<br>🧪 **手动验证**：构造包含 `../` 的路径请求，观察是否返回非预期的本地文件内容。

✅ **已修复**。<br>🛠️ **动作**：厂商已发布补丁（Commit `3f10602`）并关闭了 Issue #350。<br>📢 **公告**：GitHub Security Advisories (GHSA-g78x-q3x8-r6m4) 已确认修复。

🛡️ **临时规避**：<br>1. **升级**：立即更新至修复后的最新版本。<br>2. **隔离**：若无法升级，限制 Web 接口访问权限，仅允许受信任 IP 访问。<br>3. **监控**：加强日志审计，监控异常的文件读取请求。

🔥 **优先级：高**。<br>⚡ **理由**：CVSS 评分高，**无需认证**且**远程可利用**，攻击成本极低。<br>🚀 **建议**：立即排查受影响版本，优先安排升级或应用缓解措施。