CVE-2024-11315 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传类型限制缺失。 💥 **后果**：攻击者可上传任意文件（如 Webshell），直接导致 **服务器被控** 和 **任意代码执行**。

🛡️ **CWE**：CWE-23（相对路径遍历/文件操作缺陷）。 🔍 **缺陷点**：系统 **未严格校验** 上传文件的类型，导致恶意文件绕过检查。

📦 **厂商**：TRCore（中国）。 📌 **产品**：TRCore DVC（文件保险系统）。 📅 **版本**：**6.0 至 6.3 版本** 均受影响。

🔓 **权限**：获得 **Webshell** 权限，等同于服务器最高控制权。 📂 **数据**：可读取、篡改、删除 **所有业务数据**，甚至横向移动内网。

📉 **门槛**：**极低**。 🔑 **认证**：CVSS 显示 **无需认证** (PR:N)。 🌐 **网络**：网络可达即可利用 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

🧪 **Exp**：当前数据源 **暂无** 公开 PoC 或 Exp 链接。 🌍 **在野**：暂无明确在野利用报告，但利用逻辑简单，风险极高。

🔍 **自查**：检查 DVC 版本是否为 6.0-6.3。 📝 **特征**：重点审计文件上传接口，看是否允许 **.jsp, .php, .asp** 等可执行后缀。 🛠 **工具**：使用 WAF 或扫描器检测异常文件上传行为。

🛠 **官方**：数据中 **未提供** 官方补丁链接或具体修复方案。 📢 **建议**：立即联系 TRCore 厂商获取最新安全更新或版本升级指引。

🚧 **临时规避**： 1. **WAF 拦截**：在 Web 防火墙中禁止上传可执行脚本后缀。 2. **目录权限**：限制上传目录的执行权限（如 Apache/Nginx 配置禁止解析）。 3. **最小权限**：运行账户限制文件写入范围。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ **理由**：CVSS 评分 **9.8** (高危)，无需认证即可远程代码执行，直接威胁核心数据安全，需 **立即处置**。