CVE-2023-43091 — 神龙十问 AI 深度分析摘要

🚨 **本质**：GNOME Maps 存在 **代码注入** 漏洞。 🔥 **后果**：攻击者可执行任意代码，导致系统被完全控制。

🔍 **CWE**：CWE-79（跨站脚本/注入类缺陷）。 📍 **缺陷点**：`service.json` 配置文件处理不当，未对输入进行严格过滤。

📦 **组件**：GNOME Maps。 📅 **版本**： - 43.X 系列（< 43.7） - 44.X 系列（< 44.4）

👑 **权限**：当前用户权限。 💾 **数据**：高机密性(C:H)、高完整性(I:H)、高可用性(A:H)影响。可窃取数据、篡改系统、拒绝服务。

🚪 **门槛**：极低。 🔑 **认证**：无需认证 (PR:N)。 🌐 **攻击面**：网络可达 (AV:N)。 👀 **交互**：无需用户交互 (UI:N)。

📜 **Exp**：暂无公开 PoC 或 **在野利用** 报告。 🔗 参考链接仅指向 Bugzilla 和 GitLab 修复提交。

🔎 **自查**：检查 `service.json` 配置文件内容。 🛠 **工具**：扫描受影响版本 (43.x < 43.7, 44.x < 44.4)。

🛡️ **状态**：已修复。 🔗 **补丁**：GitLab 已提交修复 commit `d26cd774`。 📌 **建议**：升级至 43.7+ 或 44.4+。

⚠️ **规避**： - 限制 `service.json` 的写入权限。 - 验证配置文件的来源和完整性。 - 暂时禁用 GNOME Maps 功能。

🔥 **优先级**：极高 (CVSS 9.8)。 🚀 **行动**：立即升级！无需认证即可远程代码执行，风险极大。