CVE-2024-26020 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意脚本执行漏洞。 💥 **后果**：特制闪存卡可触发 **任意代码执行 (RCE)**，彻底破坏系统安全性。

🔍 **CWE**：CWE-74（外部组件控制路径/注入）。 📍 **缺陷**：未对用户输入的闪存卡内容进行严格过滤，导致恶意脚本注入。

🎯 **厂商**：Ankitects。 📦 **产品**：Anki。 📅 **版本**：**24.04** 版本受影响。

👑 **权限**：攻击者可获得 **高权限**（CVSS A:H）。 📊 **数据**：完全控制（CVSS C:H/I:H），可窃取数据或篡改系统。

🚪 **门槛**：中等。 👤 **要求**：无需认证（PR:N），但需 **用户交互**（UI:R）。 🌐 **网络**：远程利用（AV:N），攻击者需诱导用户打开特制卡片。

📜 **PoC**：数据中未提供现成 PoC。 🌍 **在野**：暂无在野利用报告记录。 🔗 **参考**：Talos Intelligence 报告 (TALOS-2024-1993)。

🔎 **自查**：检查是否使用 **Anki 24.04**。 📂 **行为**：警惕来源不明的 **闪存卡文件**，特别是包含脚本或 HTML 内容的卡片。

🛡️ **状态**：漏洞已公开（2024-07-22）。 💡 **建议**：立即检查官方渠道，升级至 **修复后的最新版本** 以修补此注入缺陷。

⚠️ **规避**： 1. **禁用** 脚本执行功能（如果支持）。 2. **不打开** 陌生人分享的 Anki 卡片包。 3. 使用沙箱环境测试未知卡片。

🔥 **优先级**：**高**。 📉 **风险**：CVSS 评分高（完整影响），且利用条件相对简单（只需用户点击）。建议 **立即行动** 升级或隔离。