CVE-2024-11986 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CrushFTP 存在输入处理缺陷，导致**存储型 XSS**。 💥 **后果**：攻击者可将恶意载荷写入 **Web 应用程序日志**，受害者访问日志时触发脚本执行。

🔍 **CWE**：CWE-79 (跨站脚本)。 🔧 **缺陷点**：**不正确的输入处理**。系统未对输入进行充分 sanitization，直接存入日志文件。

🎯 **受影响版本**： - **CrushFTP 10.8.2** - **CrushFTP 11.2.1** 🏢 **厂商**：CrushFTP, LLC

🕵️ **黑客能力**： - **权限**：无需身份验证 (PR:N)。 - **数据**：可窃取会话 Cookie、执行任意 JS 操作。 - **范围**：CVSS 评分高 (H)，影响完整性 (I:H) 和可用性 (A:H)。

🚪 **利用门槛**： - **认证**：**无需登录** (Unauthenticated)。 - **交互**：需用户交互 (UI:R)，即受害者需查看被污染的日志。 - **复杂度**：低 (AC:L)。

📦 **Exp/PoC**： - **PoC**：数据中显示为空 ([])。 - **在野利用**：未知。 ⚠️ 虽无公开 PoC，但鉴于无需认证，风险极高。

🔎 **自查方法**： 1. 检查 CrushFTP 版本是否为 **10.8.2** 或 **11.2.1**。 2. 扫描 Web 日志中是否包含异常 **HTML/JS 标签**。 3. 使用 WAF 规则检测日志写入中的 XSS 特征。

🛡️ **官方修复**： - 参考链接指向 **Update 页面**。 - 建议立即访问 CrushFTP 官方 Wiki 检查是否有 **更高版本** 的更新说明。

🚧 **临时规避**： - **限制访问**：仅允许可信 IP 访问日志查看功能。 - **输入过滤**：在应用层或网关层对写入日志的输入进行 **HTML 实体编码**。 - **最小权限**：确保日志服务不以高权限运行。

⚡ **优先级**：**高 (Critical)**。 - **CVSS**：3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H。 - **理由**：**无需认证** + **存储型 XSS** + **高影响**。建议立即升级或实施缓解措施。