CVE-2024-41114 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程代码执行 (RCE) 漏洞。 💥 **后果**：攻击者可通过构造恶意输入，在目标服务器上执行任意系统命令，完全接管应用。

🔍 **CWE**：CWE-20 (Improper Input Validation)。 📍 **缺陷点**：`pages/1_📷_Timelapse.py` 中的 `palette` 变量直接接收用户输入，并传入 `eval()` 函数执行，未做安全过滤。

📦 **组件**：`streamlit-geospatial`。 🏢 **厂商**：opengeos。 📅 **披露**：2024年7月26日。

👑 **权限**：拥有应用运行环境的系统权限。 📂 **数据**：可读取、修改或删除服务器上的所有文件，甚至控制整个服务器。

📉 **门槛**：极低。 🔓 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 👤 **交互**：无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供现成 Exp。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：详见 GitHub Security Lab 公告。

🔎 **自查**：检查代码中是否存在 `eval()` 处理用户输入的情况。 📂 **路径**：重点扫描 `pages/1_📷_Timelapse.py` 第 430-435 行附近的 `palette` 变量使用逻辑。

🛡️ **修复**：官方已发布修复补丁。 🔗 **链接**：commit `c4f81d9616d40c60584e36abb15300853a66e489`。 ✅ **状态**：建议立即升级至修复版本。

⚠️ **临时规避**：若无法立即升级，应禁止外部访问该应用。 🚫 **措施**：移除 `eval()` 调用，改用安全的解析方式（如 `ast.literal_eval` 或白名单校验）。

🔥 **优先级**：极高 (CVSS 9.8)。 ⏰ **建议**：立即修复！这是典型的 RCE 漏洞，利用成本极低，危害极大。