CVE-2024-3375 — 神龙十问 AI 深度分析摘要
CVSS 9.4 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:权限配置不当(ACL失效)。 🔥 **后果**:攻击者可绕过访问控制,直接调用敏感功能。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-732(权限/访问控制问题)。 🔍 **缺陷**:功能未受 **ACL(访问控制列表)** 约束。
Q3影响谁?(版本/组件)
📦 **厂商**:Havelsan Inc。 💻 **产品**:Dialogue(视频会议应用)。
Q4黑客能干啥?(权限/数据)
🕵️ **黑客能力**:访问 **不受ACL约束** 的功能。 📂 **数据风险**:可能导致未授权的数据泄露或操作。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:低。 🔑 **条件**:无需认证(PR:N),网络可达即可(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp**:当前 **无** 公开 PoC 或漏洞利用代码。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 Dialogue 应用的 **权限配置**。 📋 **重点**:确认所有敏感功能是否已正确绑定 ACL。
Q8官方修了吗?(补丁/缓解)
🔧 **官方**:已发布安全通告(USOM TR-24-0363)。 📥 **行动**:需联系厂商获取 **补丁** 或更新指引。
Q9没补丁咋办?(临时规避)
🛡️ **临时**:严格配置 **ACL**。 🚧 **隔离**:限制应用网络访问,仅允许必要通信。
Q10急不急?(优先级建议)
⚠️ **优先级**:高。 📉 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H。 💡 **建议**:立即修复,防止未授权访问。