CVE-2024-27776 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal）。<br>📉 **后果**：攻击者可读取 Web 根目录外的敏感文件，导致**信息泄露**甚至**系统被控**。

🔍 **CWE**：CWE-22（路径遍历）。<br>🐛 **缺陷**：输入验证缺失，未过滤用户提供的文件路径参数，导致越权访问。

🏢 **厂商**：MileSight（中国星纵物联）。<br>📦 **产品**：DeviceHub（LoRaWAN 部署管理平台）。

🕵️ **权限**：无需认证即可利用。<br>💾 **数据**：可访问服务器任意文件，包括配置文件、密钥等，造成**高危害**的数据泄露。

📉 **门槛**：极低。<br>⚙️ **配置**：CVSS 显示 **AV:N**（网络攻击）、**PR:N**（无需权限）、**UI:N**（无需交互）。

🚫 **Exp**：当前数据中 **PoC 为空**。<br>🌍 **在野**：暂无公开在野利用报告，但风险极高，需警惕。

🔎 **自查**：扫描设备是否运行 MileSight DeviceHub。<br>🧪 **测试**：构造包含 `../` 的路径请求，观察是否返回非预期文件内容。

🛡️ **补丁**：数据未提供具体补丁链接。<br>📢 **建议**：立即联系 MileSight 官方获取最新固件或安全更新。

🚧 **规避**：若无补丁，建议**隔离**受影响设备。<br>🚫 **限制**：禁止 DeviceHub 直接暴露在互联网，仅允许内网访问。

🔥 **优先级**：**紧急**。<br>⚖️ **CVSS**：H（高），向量显示 **C:H/I:H/A:H**（机密/完整性/可用性均高），需立即处置。