CVE-2024-27173 — 神龙十问 AI 深度分析摘要

更新日 2026-05-08CVSS 9.8 · Critical

本页是神龙十问 AI 深度分析的摘要版。完整版（更长回答、追问、相关漏洞）需登录查看 →

Q1这个漏洞是什么？（本质+后果）

🚨 **本质**：路径遍历漏洞（任意文件放置）。 📉 **后果**：攻击者可向设备写入恶意文件，彻底破坏系统完整性。

🛡️ **CWE-22**：路径遍历缺陷。 🔍 **缺陷点**：Web管理程序（TopAccess）未正确校验文件路径，导致可越权放置文件。

🏢 **厂商**：Toshiba Tec Corporation。 🖨️ **产品**：Toshiba e-STUDIO 系列多功能打印机（MFP）。

🔓 **权限**：无需认证（PR:N）。 💾 **数据**：高机密性（C:H）、高完整性（I:H）、高可用性（A:H）。可完全控制设备。

📉 **门槛极低**。 🚫 **无需认证**：远程利用（AV:N），攻击复杂度低（AC:L），无需用户交互（UI:N）。

📦 **有现成PoC**。 🔗 **链接**：GitHub (Ieakd/0day-POC-for-CVE-2024-27173)。

🔍 **Shodan**：`product:"Toshiba e-Studio" "Remote Command"`。 🔍 **FOFA**：`app="Toshiba-e-Studio"` 或 `title="Toshiba e-Studio"`。

📅 **发布时间**：2024-06-14。 📄 **参考**：JVN (JVNVU97136265) 及东芝官方公告已发布。

🚫 **网络隔离**：限制 TopAccess 端口（8080）访问。 🛡️ **访问控制**：仅允许内网IP访问管理界面，阻断公网暴露。

🔥 **优先级：极高**。 ⚠️ **理由**：CVSS 9.8分，无认证远程利用，直接威胁设备安全，需立即排查。