CVE-2023-37599 — 神龙十问 AI 深度分析摘要

🚨 **本质**：目录列表漏洞（Directory Listing）<br>🛡️ **后果**：远程攻击者无需授权即可查看敏感文件，导致信息泄露。

🔍 **缺陷点**：访问控制失效（Broken Access Control）<br>⚠️ **CWE**：数据未提供具体CWE ID，但属于典型的权限配置错误。

📦 **受影响产品**：Issabel PBX<br>🔢 **具体版本**：v.4.0.0-6<br>🏢 **类型**：开源通信软件（PBX）。

💻 **黑客能力**：远程读取敏感文件<br>📂 **目标位置**：应用程序模块目录（modules directory）<br>🔑 **权限**：无需任何认证。

🚪 **利用门槛**：极低<br>🔓 **认证要求**：无需登录/无需授权<br>🌐 **访问方式**：远程直接访问。

📜 **PoC存在**：是<br>🔗 **来源**：GitHub (sahiloj/CVE-2023-37599)<br>🤖 **自动化**：ProjectDiscovery Nuclei 模板已支持。

🔎 **自查方法**：扫描 `/modules` 目录<br>📡 **工具**：使用 Nuclei 模板 `2023/CVE-2023-37599.yaml`<br>👀 **现象**：直接列出目录文件结构。

🛠️ **官方状态**：数据未提及具体补丁链接<br>📅 **发布时间**：2023-07-13<br>💡 **建议**：需联系 Issabel Foundation 获取最新修复方案。

🚧 **临时规避**：禁用目录列表功能<br>🔒 **配置**：Web服务器配置拒绝访问 `/modules` 目录<br>🚫 **权限**：确保该目录不可公开读取。

⚡ **优先级**：高<br>📉 **风险**：无认证即可泄露敏感信息<br>🏃 **行动**：立即检查版本并实施临时规避措施。