CVE-2024-37902 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞(Zip Slip)。 📉 **后果**:攻击者通过恶意存档文件,将文件写入系统任意目录,导致**系统文件被覆盖**,服务崩溃或接管。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-22**:不安全的目录遍历。 ⚠️ **缺陷点**:Deep Java Library (Djl) 在解压存档时,**未校验**文件路径,未阻止绝对路径或包含 `../` 的路径,导致文件直接插入系统根目录。
Q3影响谁?(版本/组件)
📦 **组件**:Deep Java Library (Djl)。 📅 **版本**:**0.1.0 至 0.27.0**(不含 0.28.0)。 🏢 **厂商**:deepjavalibrary。
Q4黑客能干啥?(权限/数据)
👑 **权限**:无需认证(PR:N),远程利用(AV:N)。 💾 **数据**:可**完全覆盖**关键系统文件。 🔥 **影响**:高机密性、高完整性、高可用性破坏(CVSS 评分极高,S:C 表示影响范围扩散至系统其他部分)。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。 🔓 **认证**:不需要(PR:N)。 🖱️ **交互**:不需要用户点击(UI:N)。 🌐 **网络**:网络可达即可(AV:N)。 🎯 **复杂度**:低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无公开 Exp**。 📄 **PoC**:数据中 `pocs` 为空,暂无公开利用代码。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔍 **自查特征**: 1. 检查项目依赖是否包含 `djl` 且版本 < **0.28.0**。 2. 审查代码中是否有解压 `.zip`/`.tar` 等存档的操作。 3. 扫描日志中是否有异常的文件写入路径(如 `/etc/` 或 `/bin/`)。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**。 🛡️ **补丁版本**:**v0.28.0** 及以后版本。 🔗 **参考**:GitHub Release v0.28.0 及安全公告 GHSA-w877-jfw7-46rj。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**: 1. **升级**:立即升级至 **0.28.0+**。 2. **隔离**:若无法升级,限制运行环境权限,禁止应用写入系统关键目录。 3. **校验**:在代码层手动校验解压路径,确保不包含 `..` 或绝对路径。
Q10急不急?(优先级建议)
🔥 **优先级:紧急**。 📊 **理由**:CVSS 向量显示为 **Critical** 级别(C:H, I:H, A:H),且无需认证即可远程利用。一旦成功,系统完整性彻底丧失。建议**立即修复**。