CVE-2024-41119 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程代码执行 (RCE) 漏洞。 💥 **后果**：攻击者可完全控制受影响的应用程序服务器。 📉 **严重性**：CVSS 满分 10.0，高危中的高危！

🔍 **CWE**：CWE-20 (输入验证不当)。 📍 **缺陷点**：`8_???_Raster_Data_Visualization.py` 文件。 ⚠️ **核心**：`vis_params` 变量直接接收用户输入，并传入 `eval()` 函数执行。

📦 **厂商**：opengeos。 🛠️ **产品**：streamlit-geospatial。 🌍 **场景**：基于 Streamlit 的地理空间多页应用程序。

👑 **权限**：获得应用程序运行上下文的所有权限。 💾 **数据**：可读取、修改、删除服务器上的任何数据。 🖥️ **控制**：可在服务器上执行任意系统命令。

🚪 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可访问 (AV:N)。 🎯 **复杂度**：低 (AC:L)。 👀 **用户交互**：无需用户交互 (UI:N)。 ✅ **结论**：门槛极低，远程即可利用。

📜 **PoC**：数据中未提供现成 Exploit 代码。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：详见 GitHub Security Lab 公告 (GHSL-2024-100)。

🔎 **扫描特征**：检测 `streamlit-geospatial` 实例。 📂 **关键文件**：检查 `pages/8_???_Raster_Data_Visualization.py`。 🧪 **测试点**：向 `vis_params` 参数发送包含 `eval` 或系统命令的 Payload。

🛡️ **修复**：官方已发布修复补丁 (Commit: c4f81d96)。 🔗 **链接**：参考 GitHub 提交记录及 GHSL 安全公告。 ✅ **建议**：立即升级至修复版本。

🚫 **规避**：禁用或移除 `8_???_Raster_Data_Visualization.py` 页面。 🛑 **限制**：禁止未授权用户访问该应用。 🔒 **替代**：使用输入白名单替代 `eval`，或改用 `ast.literal_eval`。

🔥 **优先级**：P0 (紧急)。 ⚡ **理由**：CVSS 10.0 + 无需认证 + RCE。 🏃 **行动**：立即隔离受影响服务并应用补丁。