CVE-2024-24621 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Webuzo 密码重置功能存在**身份验证绕过**漏洞。 💥 **后果**：远程攻击者可直接获取服务器 **Root 权限**，导致完全失控。

🔍 **CWE**：CWE-697（比较错误）。 📍 **缺陷点**：在通过密码重置流程验证身份时，逻辑判断存在缺陷，导致未授权访问。

🏢 **厂商**：Softaculous。 📦 **产品**：Webuzo（虚拟主机控制面板）。

👑 **权限**：以 **Root 用户**身份登录。 📂 **数据**：获得服务器**完全访问权限**，可读取、修改、删除所有数据及配置。

📉 **门槛**：**极低**。 🔓 **认证**：**无需认证**（匿名攻击者）。 🌐 **网络**：远程利用（AV:N）。 ⚡ **复杂度**：低（AC:L）。

📄 **PoC**：数据中未提供公开 PoC。 🔥 **在野**：暂无明确在野利用报告，但漏洞本质严重，风险极高。

🔎 **自查**：检查是否运行 Webuzo 面板。 🛡️ **扫描**：重点检测密码重置接口（如 `/password` 或类似路径）是否存在逻辑绕过特征。

🛠️ **补丁**：官方已发布安全公告（2024-07-25）。 ✅ **建议**：立即联系 Softaculous 获取最新安全版本或补丁。

🚧 **临时规避**： 1. 限制 Webuzo 面板访问 IP（仅允许信任 IP）。 2. 禁用或隐藏密码重置公共接口。 3. 加强服务器防火墙策略。

🔴 **优先级**：**紧急**。 ⚠️ **理由**：CVSS 评分 **9.8**（Critical），无需认证即可 Root，建议**立即修复**。