CVE-2024-38526 — 神龙十问 AI 深度分析摘要

🚨 **本质**：`pdoc` 生成的文档中，`--math` 功能引用的 JS 库指向了已被投毒的 `polyfill.io` CDN。 💥 **后果**：用户访问文档时，浏览器加载恶意脚本，导致 **供应链攻击**，可能窃取数据或执行恶意代码。

🔍 **CWE**：CWE-1395 (使用有缺陷的第三方组件)。 📍 **缺陷点**：代码硬编码或默认引用了不安全的 CDN 链接，未验证来源安全性。

👥 **受影响**：使用 **mitmproxy/pdoc** 项目的用户。 📦 **版本**：**pdoc 14.5.1 之前** 的所有版本。

🕵️ **黑客能力**：通过被污染的 CDN 注入恶意 JavaScript。 📊 **权限/数据**：可在受害者浏览器上下文中执行任意代码，**窃取会话/Cookie**，或重定向用户。

🚪 **利用门槛**：**极低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，攻击向量网络 (AV:N)。只要访问生成的文档即可触发。

🛠️ **Exp/PoC**：有。 📂 **工具**：GitHub 上已有专门的扫描器如 `pollypull`、`pollyscan` 以及 Nuclei 模板，可批量检测受影响的 URL。

🔎 **自查方法**： 1. 检查生成的 HTML 是否引用 `polyfill.io`。 2. 使用 `pollyscan` 或 Nuclei 模板扫描内部文档站点。 3. 查看代码中是否有 `--math` 相关的 CDN 链接配置。

✅ **官方修复**：已修复。 📦 **补丁**：**pdoc 14.5.1** 版本已更新，移除了对不安全 CDN 的引用。请升级至该版本或更高。

🛡️ **临时规避**： 1. **升级**：立即升级 pdoc 至 14.5.1+。 2. **隔离**：如果无法升级，确保生成的文档仅在内网访问，不暴露给公网。 3. **CSP**：配置严格的 Content Security Policy 阻止外部恶意脚本。

⚡ **优先级**：**高**。 📢 **建议**：CVSS 评分虽为 L (低)，但因为是 **供应链投毒** 且 **无需交互**，风险极大。建议 **立即** 升级或采取缓解措施。