CVE-2024-32027 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Kohya_ss 存在**命令注入漏洞**。 💥 **后果**：攻击者可执行任意系统命令，导致**完全控制**服务器。

🔍 **CWE**：CWE-77 (命令注入)。 📍 **缺陷点**：`finetune_gui.py` 文件处理不当，未过滤用户输入。

👥 **受影响**：bmaltais 开发的 **Kohya_ss**。 📦 **版本**：v22.6.1 至 v23.1.3。

🕵️ **黑客能力**： - **高机密性**：窃取敏感数据。 - **高完整性**：篡改系统文件。 - **权限**：以应用权限执行任意代码。

🚪 **利用门槛**： - **无需认证** (PR:N)。 - **无需交互** (UI:N)。 - **远程利用** (AV:N)。 - **极易利用** (AC:L)。 ⚠️ **高危**！

💣 **现成Exp**：数据中未提供 PoC 或**在野利用**报告。 🔗 但漏洞细节已公开，技术门槛低。

🔎 **自查方法**： 1. 检查 Kohya_ss 版本是否在 **v22.6.1 - v23.1.3** 之间。 2. 审查 `finetune_gui.py` 是否包含未过滤的 shell 调用。

🛡️ **官方修复**： - 已发布安全公告 (GHSA-8h78-3vqm-xw83)。 - 已提交修复代码 (Commit: 831af8b)。 ✅ **建议立即升级**。

🚧 **临时规避**： - 若无法升级，**禁用**涉及 `finetune_gui.py` 的远程功能。 - 严格限制输入参数，避免直接拼接命令。

🔥 **优先级**：**紧急**。 - CVSS 评分高 (C:H, I:H)。 - 无需认证即可远程利用。 - **立即修补**或隔离运行环境。