CVE-2024-12856 — 神龙十问 AI 深度分析摘要

🚨 **本质**：系统时间修改接口存在命令注入。 💥 **后果**：攻击者可执行任意 **OS 命令**，彻底控制设备。

🔍 **CWE-78**：OS 命令注入。 📍 **缺陷点**：`apply.cgi` 在处理系统时间参数时，未过滤恶意输入。

📦 **厂商**：Four-Faith (四信)。 📱 **型号**：F3x24、F3x36 (便携式无线移动路由器)。 📜 **版本**：至少 **v2.0** 受影响。

👑 **权限**：获得 **Root/系统级** 权限。 📂 **数据**：完全泄露设备数据，可建立 **反向 Shell**，横向渗透内网。

⚠️ **门槛**：中等。 🔑 **认证**：需 **HTTP 认证** (默认账号密码)。 🌐 **网络**：远程可利用 (AV:N)。 💡 **注意**：若未改默认密码，等同于 **无认证** 高危漏洞。

💻 **Exp**：有。 🔗 **来源**：GitHub (nu113d/CVE-2024-12856)。 🎯 **功能**：可直接获取 **Reverse Shell**。

🔎 **自查**： 1. 扫描互联网暴露的 **Four-Faith** 设备。 2. 检测 `apply.cgi` 接口响应。 3. 尝试使用默认凭证登录测试。

🛡️ **补丁**：数据未提及官方具体补丁链接。 ✅ **建议**：立即联系厂商获取最新固件升级，或查看 VulnCheck 等第三方 advisories。

🚧 **临时规避**： 1. **强制修改**默认密码！ 2. 在防火墙限制 `apply.cgi` 访问 IP。 3. 禁用不必要的远程管理端口。

🔥 **优先级**：**高 (Critical)**。 📉 **CVSS**：9.8 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)。 ⚡ **行动**：若使用默认密码，需 **立即** 处置，否则随时被控。