CVE-2024-32986 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Web 应用属性清理不当,导致恶意注入。 💥 **后果**:攻击者可在 PWA 启动时执行**任意代码**,完全控制受害机器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-74 (外部组件控制路径/注入)。 📍 **缺陷点**:未正确清理 Web 应用属性,允许向 **XDG** 和 **AppInfo.ini** 注入额外行。
Q3影响谁?(版本/组件)
📦 **产品**:PWAsForFirefox (Firefox 扩展)。 👤 **开发者**:Filip Š (filips123)。 📉 **版本**:**v2.12.0 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:可引入 **Exec** 等密钥。 💾 **数据/影响**:在受影响的 Web 应用启动时运行**任意代码**,拥有用户上下文下的完全执行权限。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 👉 **条件**: 1. 用户需安装旧版扩展。 2. 用户需访问/安装**恶意 Web 应用** (UI:R)。 3. 无需认证 (PR:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:数据中未提供公开 PoC 链接。 🌍 **在野**:暂无在野利用报告记录。 🔗 **参考**:见 GitHub 安全公告链接。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Firefox 扩展列表。 📋 **特征**:查找名为 **PWAsForFirefox** 的扩展。 🔢 **版本**:确认版本号是否 **< v2.12.0**。
Q8官方修了吗?(补丁/缓解)
🛡️ **状态**:已修复。 💊 **补丁**:升级至 **v2.12.0** 或更高版本。 🔗 **来源**:GitHub Releases 及安全公告。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **卸载** PWAsForFirefox 扩展。 2. 或禁用该扩展,直到完成升级。 3. 避免安装来源不明的 PWA。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📈 **CVSS**:9.8 (Critical)。 💡 **建议**:立即升级!虽然需要用户交互,但后果是**任意代码执行**,风险极大。