CVE-2024-25641 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件写入漏洞。 💥 **后果**：攻击者可上传恶意PHP文件，直接导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE-20**：输入控制不当。 📍 **缺陷点**：在 **“Package Import” (包导入)** 功能中，未严格校验上传文件，允许写入任意路径。

📦 **厂商**：Cacti。 📉 **版本**：**< 1.2.27** (即 1.2.26 及更早版本)。 🌵 **组件**：Cacti 网络监控工具。

👑 **权限**：获得 Web 服务器权限。 💻 **能力**：执行任意 **PHP 代码**，可获取 Shell、窃取数据、横向移动。

⚠️ **门槛**：中等。 🔑 **条件**：需要 **已认证用户** 身份。 🛡️ **权限**：需拥有 **“Import Templates” (导入模板)** 权限。

🔥 **有现成 Exp**！ 📂 **GitHub** 上已有多个自动化 PoC (如 `CVE-2024-25641-RCE-Automated-Exploit`)。 💣 **在野风险**：高，脚本一键即可触发。

🔎 **自查方法**： 1. 检查 Cacti 版本是否 < 1.2.27。 2. 扫描是否存在 `/package_import.php` 相关接口。 3. 使用提供的 Python PoC 脚本进行验证测试。

🛡️ **官方已修复**。 📅 **时间**：2024-05-13 发布安全公告。 ✅ **方案**：升级至 **Cacti 1.2.27** 或更高版本。

🚧 **临时规避**： 1. **升级**：最快方案。 2. **权限控制**：若无升级条件，严格限制拥有 “Import Templates” 权限的用户。 3. **WAF**：拦截包含 PHP 代码的 XML/包上传请求。

🔴 **优先级：高**。 ⚡ **理由**：RCE 漏洞 + 有自动化 Exp + 影响版本广泛。 🏃 **行动**：立即升级或隔离受影响实例。