CVE-2024-27145 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（任意文件写入）。 📉 **后果**：攻击者可将**任何文件**放置到设备中，彻底破坏系统完整性。

🔍 **CWE**：CWE-22（路径遍历）。 📍 **缺陷点**：**Web管理程序**（TopAccess）处理不当，未严格校验文件路径。

🏢 **厂商**：Toshiba Tec Corporation。 🖨️ **产品**：Toshiba e-STUDIO 系列多功能打印机（MFP）。

🔓 **权限**：无需认证（PR:N）。 💾 **数据**：可执行任意代码、篡改系统文件，导致**高机密性/完整性/可用性**损失。

⚡ **门槛**：极低。 🔑 **条件**：网络可访问（AV:N）、无需权限（PR:N）、无需用户交互（UI:N）。

📦 **Exp**：数据中未提供现成PoC。 🌍 **在野**：参考链接提及Full Disclosure披露，需警惕利用风险。

🔎 **自查**：扫描是否开放 **TopAccess** Web管理接口。 📡 **特征**：检测针对e-STUDIO管理页面的异常文件上传请求。

🛡️ **补丁**：官方已发布安全公告（2024-05-31）。 📝 **行动**：请查阅Toshiba Tec官方PDF公告获取具体修复版本。

🚧 **规避**：若无法打补丁，立即**关闭**TopAccess远程访问。 🔒 **限制**：仅允许内网可信IP访问管理端口，或配置防火墙拦截。

🔥 **优先级**：**紧急**。 ⚠️ **理由**：CVSS评分极高（H/H/H），且无需认证即可利用，建议**立即**修复或隔离。