CVE-2024-36108 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CasGate 存在未授权访问漏洞。 📉 **后果**：攻击者可绕过认证，直接通过 GET 请求窃取敏感信息。

🔍 **CWE**：CWE-285（不当授权）。 🐛 **缺陷**：API 端点缺乏必要的身份验证检查，导致信息泄露。

🎯 **组件**：CasGate（开源身份与访问管理软件）。 📦 **版本**：**0.1.0 之前**的所有版本均受影响。

🕵️ **权限**：无需登录，远程直接访问。 📂 **数据**：获取 **敏感信息**（CVSS 显示机密性/完整性/可用性均为高危害）。

🚪 **门槛**：**极低**。 ✅ **认证**：无需身份验证（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。 ⚡ **复杂度**：低（AC:L）。

🧪 **Exp**：数据中未提供现成 PoC 或 Pocs 列表。 🌍 **在野**：暂无公开在野利用报告记录。

🔎 **自查**：检查 CasGate 版本是否 < 0.1.0。 📡 **扫描**：对 API 端点发送匿名 GET 请求，观察是否返回敏感数据。

🛡️ **修复**：已修复。 🔗 **参考**：GitHub PR #201 及安全公告 GHSA-mj5q-rc67-h56c。 📅 **时间**：2024-05-31 发布。

🚧 **临时规避**：若无法升级，建议 **限制 API 端点访问权限**，仅允许受信任 IP 访问，或前置 WAF 拦截未授权请求。

⚠️ **优先级**：**高**。 📈 **评分**：CVSS 3.1 高分（无认证、远程、高危害）。 💡 **建议**：立即升级至修复版本，防止敏感数据泄露。