CVE-2024-42845 — 神龙十问 AI 深度分析摘要

🚨 **本质**：InVesalius 存在 **eval 注入**漏洞。 💥 **后果**：攻击者可通过加载恶意 **DICOM 文件**，实现 **任意代码执行 (RCE)**。

🔍 **缺陷点**：组件内部存在 **eval 注入**问题。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心是 **代码注入**。

📦 **受影响版本**：InVesalius **3.1.99991** 至 **3.1.99998**。 🏥 **软件类型**：开源三维医学影像重建软件。

🔓 **权限**：攻击者可获得 **远程代码执行 (RCE)** 权限。 📂 **数据**：可完全控制受影响系统，无直接数据泄露描述，但控制权丧失。

🚪 **利用门槛**：中等。 📥 **条件**：需诱导用户加载 **精心设计的 DICOM 文件**。 🔑 **认证**：数据未提及需认证，通常此类文件加载无需特殊权限。

💣 **Exp 状态**：**有现成 Exp**。 🔗 **来源**：GitHub 上有多个 PoC/Exploit 仓库（如 `partywavesec` 和 `theexploiters`）。

🔎 **自查方法**： 1. 检查 InVesalius 版本是否在 **3.1.99991-3.1.99998** 之间。 2. 监控是否有异常 **DICOM 文件**加载行为。 3. 使用提供的 GitHub PoC 进行验证测试。

🛡️ **官方修复**：数据中**未提及**官方已发布补丁或具体修复版本。 📅 **披露时间**：2024-08-23 公开。

⚠️ **临时规避**： 1. **禁用**自动加载 DICOM 功能。 2. **隔离**运行环境，避免加载来源不明的医学影像文件。 3. 升级至安全版本（若官方后续发布）。

🔥 **优先级**：**高**。 📉 **理由**：存在 **RCE** 且 **Exp 已公开**，攻击成本低，危害大（系统完全失控）。建议立即排查版本并实施规避措施。