CVE-2024-1148 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:OpenText PVCS Version Manager 存在**弱访问控制**。 📉 **后果**:攻击者可**绕过身份验证**,直接进行**文件上传**,导致系统完整性受损。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-287**:Improper Authentication(身份验证不当)。 🔍 **缺陷点**:关键操作缺乏严格的**访问控制检查**,导致未授权访问。
Q3影响谁?(版本/组件)
📦 **厂商**:OpenText。 💻 **产品**:PVCS Version Manager。 ⚠️ **范围**:受影响的具体版本未在数据中列出,需参考官方公告。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证即可操作。 💾 **数据**:可上传恶意文件,可能导致**远程代码执行**或**数据篡改**。 📊 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H(高危)。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证**(PR:N)。 🎯 **配置**:利用复杂度低(AC:L)。 👤 **交互**:无需用户交互(UI:N)。 📉 **结论**:利用门槛**极低**,远程即可攻击。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 **pocs** 字段为空,暂无公开代码。 🌍 **在野**:数据未提及在野利用情况。 ⚠️ **注意**:虽无PoC,但CVSS评分高,风险依然存在。
Q7怎么自查?(特征/扫描)
🔍 **检测**:扫描目标是否运行 **OpenText PVCS Version Manager**。 📡 **特征**:尝试访问文件上传接口,观察是否返回**未授权**或**成功上传**响应。 📋 **参考**:查阅 Microfocus 知识库 KM000026669。
Q8官方修了吗?(补丁/缓解)
🩹 **补丁**:数据未提供具体补丁版本。 📖 **缓解**:参考官方文章 **KM000026669** 获取最新修复建议。 📅 **发布时间**:2024-03-21。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **网络隔离**:限制对 PVCS 服务的访问。 2. **WAF防护**:拦截异常的文件上传请求。 3. **最小权限**:确保服务账户权限最小化。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📊 **理由**:CVSS 评分极高(C:H/I:H/A:H),且**无需认证**。 💡 **建议**:立即检查受影响实例,尽快应用官方修复或实施缓解措施。