Question 1

这个漏洞是什么？（本质+后果）

Accepted Answer

🚨 **本质**：在线养猪管理系统存在**文件上传漏洞**。 💥 **后果**：攻击者可上传恶意 PHP 文件，直接导致**服务器被控**或**数据泄露**。

Question 2

根本原因？（CWE/缺陷点）

Accepted Answer

🔍 **缺陷点**：**文件上传逻辑缺失校验**。 📉 **CWE**：数据未提供具体 CWE ID，但属于典型的**不安全文件上传**缺陷。

Question 3

影响谁？（版本/组件）

Accepted Answer

🎯 **目标**：**Online Piggery Management System**。 📦 **版本**：**1.0 版本**（Lewa 个人开发者）。

Question 4

黑客能干啥？（权限/数据）

Accepted Answer

👮 **权限**：**未授权**（无需登录）。 📂 **数据**：可上传任意 **PHP Webshell**，获得服务器执行权限。

Question 5

利用门槛高吗？（认证/配置）

Accepted Answer

🚪 **门槛**：**极低**。 🔑 **认证**：**无需身份验证**，直接发送 POST 请求即可利用。

Question 6

有现成Exp吗？（PoC/在野利用）

Accepted Answer

🧪 **Exp**：**有现成 PoC**。 🔗 来源：Nuclei 模板及 GitHub 公开 PoC 仓库。

Question 7

怎么自查？（特征/扫描）

Accepted Answer

🔎 **自查**：扫描目标是否响应 `add-pig.php` 的 POST 请求。 📡 **工具**：使用 Nuclei 模板 `CVE-2023-37629.yaml` 快速检测。

Question 8

官方修了吗？（补丁/缓解）

Accepted Answer

🛡️ **补丁**：数据未提及官方补丁。 ⚠️ **状态**：建议联系开发者或检查 SourceCodester 更新。

Question 9

没补丁咋办？（临时规避）

Accepted Answer

🚧 **规避**： 1. **WAF 拦截**：过滤 `add-pig.php` 的 PHP 文件上传。 2. **权限控制**：限制该接口访问 IP 或增加认证。

Question 10

急不急？（优先级建议）

Accepted Answer

🔥 **优先级**：**高危**。 ⚡ **理由**：**未授权** + **RCE（远程代码执行）**，利用成本几乎为零，需立即修复。

CVE-2023-37629 — 神龙十问 AI 深度分析摘要

Q1这个漏洞是什么？（本质+后果）