CVE-2024-32026 — 神龙十问 AI 深度分析摘要

🚨 **本质**：命令注入漏洞（Command Injection） 📉 **后果**：攻击者可远程执行任意系统命令，导致服务器被完全控制。

🔍 **CWE**：CWE-77（命令注入） 📍 **缺陷点**：`git_ception_gui.py` 文件处理不当，未对用户输入进行严格过滤。

🎯 **受影响**：Kohya_ss 版本 **v22.6.1 至 v23.1.3** 👤 **厂商**：bmaltais

💀 **黑客能力**： - **权限**：获取系统最高权限（执行命令） - **数据**：完全泄露、篡改或删除数据（CVSS评分 C:H, I:H）

🚪 **利用门槛**：极低 - **认证**：无需认证 (PR:N) - **交互**：无需用户交互 (UI:N) - **网络**：远程利用 (AV:N)

📦 **Exp现状**： - **PoC**：数据中未提供公开 PoC - **在野**：暂无在野利用报告 - **注意**：虽无公开Exp，但漏洞原理简单，利用风险极高。

🔎 **自查方法**： 1. 检查 Kohya_ss 版本号是否在 **v22.6.1 - v23.1.3** 之间。 2. 审查代码中 `git_ception_gui.py` 是否直接拼接用户输入执行命令。

🛡️ **官方修复**： - **已修复**：是的，官方已发布安全公告。 - **补丁链接**：见 GitHub Security Advisories (GHSA-v5cm-33w8-xrj6)。 - **建议**：立即升级至最新版本。

⚠️ **临时规避**： - **隔离**：不要将 Kohya_ss 暴露在公网。 - **权限**：以最小权限用户运行服务。 - **监控**：严格监控服务器日志中的异常命令执行。

🔥 **优先级**：P0（紧急） - **理由**：CVSS 3.1 高分，远程无认证可执行命令，直接威胁服务器安全。请立即行动！