CVE-2022-25765 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ruby 库 `pdfkit` 存在 **命令注入** 漏洞。 💥 **后果**：攻击者可利用未 sanitization 的 URL 执行 **非法命令**，导致远程代码执行 (RCE)。

🔍 **缺陷点**：URL 参数 **未进行适当清理/过滤**。 📉 **CWE**：数据中未提供具体 CWE ID，但属于典型的 **命令注入** 类缺陷。

📦 **组件**：Ruby 包 `pdfkit`。 📉 **版本**：版本 **< 0.8.6** 均受影响。

👮 **权限**：以 **应用服务器进程权限** 执行任意命令。 📂 **数据**：可读取服务器文件、执行系统指令，甚至获取 **反向 Shell**。

📉 **门槛**：**极低**。 🔓 **条件**：无需认证 (PR:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。

🔥 **Exp**：**有现成 PoC**。 🔗 多个 GitHub 仓库提供 exploit（如 `Atsukoro1/PDFKitExploit`），支持 **反向 Shell** 和盲打 RCE。

🔍 **自查**：检查 Ruby 依赖中 `pdfkit` 版本。 🛠 **扫描**：使用 Snyk 或依赖扫描工具检测 `SNK-RUBY-PDFKIT-2869795`。

🛡️ **补丁**：官方声称修复至 **0.8.7.2**。 ⚠️ **注意**：首个补丁被证实 **无效**，需确认是否应用了最终有效修复版本。

🚧 **规避**：升级至 **最新安全版本**。 🛑 **临时**：若无法升级，需严格 **过滤/转义** 传入 `pdfkit` 的 URL 参数，禁止包含 shell 元字符。

🔥 **优先级**：**紧急**。 📈 **CVSS**：3.1 版本，向量显示 **高严重性** (C:L/I:L/A:L)，无需权限即可利用，建议立即修复。