CVE-2024-11666 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ONEKEY Platform 存在**数据伪造**漏洞。 🔥 **后果**：对等验证被禁用，导致**远程未授权**用户可执行**任意命令**，设备完全沦陷。

🛡️ **CWE**：CWE-345（缺乏对等验证）。 🔍 **缺陷点**：系统内部**对等验证机制**在任何地方都被**禁用**，导致信任链断裂。

📦 **厂商**：hardy-barth。 ⚙️ **产品**：cph2_echarge_firmware（ONEKEY 充电桩控制器固件）。

💀 **权限**：**提升权限**执行任意命令。 📂 **数据**：虽未明确提及数据窃取，但命令执行通常意味着**完全控制**，数据泄露风险极高。

🚪 **门槛**：**低**。 🔑 **认证**：**无需身份验证**（PR:N）。 🌐 **网络**：**远程**可利用（AV:N）。 ⚠️ **注意**：攻击复杂度较高（AC:H），但无需登录即可发起。

📜 **Exp**：当前 **无公开 PoC**（pocs 为空）。 🌍 **在野**：暂无在野利用报告，但参考链接显示为**严重漏洞分析**。

🔍 **自查**：检查 ONEKEY Platform 组件是否启用**对等验证**。 📡 **扫描**：针对 cph2_echarge_firmware 固件版本进行**未授权访问**测试。

🩹 **补丁**：参考链接指向官方发布的**严重漏洞分析**，建议立即查阅 ONEKEY 官方公告获取**固件更新**。

🛡️ **规避**：若无法立即打补丁，建议**隔离**受影响设备，限制网络访问，强制启用**对等验证**（如支持配置）。

🚨 **优先级**：**高**。 📊 **CVSS**：9.8（Critical）。 💡 **建议**：虽然攻击复杂度较高，但**无需认证**且后果严重，建议**紧急修复**。