CVE-2024-0916 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未经身份验证的文件上传漏洞。 💥 **后果**：攻击者可远程执行代码 (RCE)，彻底接管系统。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 📍 **缺陷**：未对上传文件进行严格校验，允许恶意脚本上传。

🏢 **厂商**：Webkul Software。 📦 **产品**：UvDesk Community（开源票务支持系统）。 📅 **版本**：1.0.0 至 1.1.3。

👑 **权限**：远程代码执行 (RCE)。 📊 **数据**：完全控制服务器，可窃取/篡改所有业务数据。

🚪 **认证**：**无需登录** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 ⚡ **难度**：低 (AC:L)，极易利用。

📜 **PoC**：数据中未提供公开 PoC。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查是否运行 UvDesk 1.0.0-1.1.3。 🛡️ **扫描**：检测未授权的文件上传接口及异常文件类型。

🛠️ **补丁**：参考 GitHub PR #706 修复方案。 📢 **状态**：官方已发布修复 Pull Request。

⚠️ **规避**：限制上传目录执行权限。 🚫 **策略**：禁用非白名单文件类型上传，或暂时下线服务。

🔥 **优先级**：**紧急** (CVSS 9.8)。 🏃 **行动**：立即升级版本或应用临时缓解措施。