CVE-2024-11992 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:绝对路径遍历漏洞(Path Traversal)。<br>📉 **后果**:攻击者可删除服务器上的关键文件,导致服务中断或数据丢失。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22(路径遍历)。<br>🐛 **缺陷**:对用户输入验证不当,未过滤非法路径字符。
Q3影响谁?(版本/组件)
📦 **产品**:OpenSolution Quick CMS。<br>🏷️ **版本**:6.7 版本。
Q4黑客能干啥?(权限/数据)
🗑️ **能力**:删除服务器存储的文件。<br>🔓 **权限**:无需认证,直接操作文件系统。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。<br>⚙️ **条件**:网络可访问(AV:N),无需权限(PR:N),无需交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供现成 Exp。<br>🌍 **在野**:暂无明确在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描 Quick CMS 6.7 实例。<br>🧪 **测试**:构造包含 `../` 的删除请求,观察是否越权删除。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:数据未提及官方补丁。<br>📢 **建议**:关注官方公告或参考 Incibe 安全通知。
Q9没补丁咋办?(临时规避)
🛡️ **规避**:限制文件删除功能。<br>🚫 **配置**:严格校验输入路径,禁用危险参数。
Q10急不急?(优先级建议)
⚡ **优先级**:高。<br>📈 **理由**:CVSS 评分高(I:H, C:H),利用简单,破坏性强。