CVE-2024-23652 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:BuildKit 存在**路径遍历漏洞**。💥 **后果**:攻击者可利用此漏洞,**删除容器外部**的主机文件,造成严重数据丢失。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22(路径遍历)。🐛 **缺陷点**:构建过程中对文件路径处理不当,导致能访问到预期范围之外的目录。
Q3影响谁?(版本/组件)
📦 **厂商**:moby。🛠️ **产品**:buildkit。📅 **受影响版本**:**v0.12.4 及之前版本**。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需特殊权限即可触发。📉 **数据影响**:**高完整性/高可用性**损失。可直接**删除主机系统文件**,破坏服务器环境。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:低。🔑 **认证**:PR:N(无需认证)。🌐 **攻击向量**:AV:N(网络可攻击)。⚙️ **配置**:UI:N(无需用户交互)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成利用代码。🔗 **链接**:[GitHub PoC](https://github.com/abian2/CVE-2024-23652)。⚠️ **注意**:公开可用,需警惕在野利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 CI/CD 流水线中使用的 BuildKit 版本。📊 **扫描**:确认是否运行 **v0.12.4 或更低版本**。📝 **日志**:监控异常的文件删除操作。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**:官方已发布补丁。🚀 **升级版本**:请升级至 **v0.12.5** 或更高版本。🔗 **详情**:[Release v0.12.5](https://github.com/moby/buildkit/releases/tag/v0.12.5)。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法立即升级,建议**限制 BuildKit 权限**,最小化容器文件系统访问权限。🚫 **隔离**:尽量在受限环境中运行构建任务。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。📈 **CVSS**:8.8 (Critical)。⚠️ **建议**:立即升级!此漏洞可直接导致**主机文件被删**,风险极大,切勿拖延。