CVE-2023-47110 — 神龙十问 AI 深度分析摘要

🚨 **本质**：配置表任意值修改漏洞。 💥 **后果**：攻击者可篡改系统核心配置，导致服务不可用或数据泄露。

🔍 **CWE-284**：访问控制错误。 📍 **缺陷点**：`ajax` 函数未严格校验输入，允许写入配置表任意字段。

🏪 **厂商**：PrestaShop。 📦 **组件**：blockreassurance 模块。 📅 **版本**：5.1.3 及之前所有版本。

🔓 **权限**：需低权限登录。 📊 **数据**：可修改任意配置值，可能导致 **A:H** (高可用性影响) 和 **I:L** (低完整性影响)。

🚪 **门槛**：中等。 🔑 **要求**：需要 **PR:L** (低权限认证)，无需用户交互 (UI:N)，网络远程 (AV:N) 即可利用。

📜 **Exp**：数据中 **pocs** 为空。 🌍 **在野**：暂无公开在野利用报告，但存在官方安全建议链接。

🔎 **自查**：检查是否安装 `blockreassurance` 模块。 📉 **版本**：确认版本号是否 ≤ 5.1.3。

🛡️ **修复**：参考 GitHub Advisory (GHSA-xfm3-hjcc-gv78)。 💡 **动作**：升级模块至修复版本或应用官方补丁。

⚠️ **临时**：若无补丁，建议 **禁用** 该模块。 🚫 **限制**：严格限制对 `ajax` 端点的访问权限，仅允许信任 IP。

🔥 **优先级**：高。 📈 **CVSS**：分数较高，且影响可用性 (A:H)。 💡 **建议**：立即排查并升级，防止配置被恶意篡改。