CVE-2024-41117 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程代码执行 (RCE) 漏洞。 💥 **后果**：攻击者可利用 `eval()` 函数执行任意系统命令，彻底接管服务器。

🔍 **CWE-20**：输入验证失败。 📍 **缺陷点**：`pages/10_??_Earth_Engine_Datasets.py` 中的 `vis_params` 变量直接接收用户输入并传入 `eval()`。

📦 **厂商**：opengeos。 🛠️ **产品**：streamlit-geospatial（地理空间应用多页应用）。

👑 **权限**：最高权限（服务器控制权）。 📊 **数据**：可窃取所有敏感数据，或作为跳板攻击内网。

⚡ **门槛极低**。 🔓 **无需认证**：CVSS 显示 `PR:N` (无权限要求)。 🖱️ **无需交互**：`UI:N` (无需用户界面交互)。

📜 **PoC**：数据中未提供现成 Exp。 🌍 **在野**：暂无在野利用报告（基于提供数据）。

🔎 **自查特征**：检查代码中是否存在 `eval()` 处理用户输入的情况。 📂 **关键文件**：定位 `10_??_Earth_Engine_Datasets.py` 第 126 行附近的 `vis_params` 变量。

🛡️ **已修复**：官方已发布补丁。 🔗 **参考**：GitHub 提交记录 `c4f81d9616d40c60584e36abb15300853a66e489`。

⚠️ **临时规避**：若无法升级，需严格过滤 `vis_params` 输入，禁止使用 `eval()`，改用安全的解析方式。

🔥 **优先级：紧急**。 📈 **CVSS**：9.8 (Critical)。 💡 **建议**：立即升级版本，该漏洞无需认证即可远程利用，风险极高。