CVE-2024-4306 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传漏洞。HubBank 1.0.2 允许上传恶意 PHP 文件。💥 **后果**：攻击者可直接执行 Webshell，完全控制服务器。

🛡️ **CWE**：CWE-434（不安全的文件上传）。🔍 **缺陷点**：`upload document` 字段未对文件类型或内容进行严格校验，放行 PHP 脚本。

📦 **产品**：HubBank。🏢 **厂商**：Ofofonobs。📅 **版本**：仅影响 **1.0.2** 版本。

👑 **权限**：Webshell 执行权限（通常等同于 Web 服务账户权限）。📂 **数据**：可读取/篡改所有网站数据，甚至进一步横向移动。

🔑 **门槛**：中等。需 **注册用户** 身份（PR:L）。无需用户交互（UI:N），但需先登录获取上传权限。

📜 **Exp**：数据中 **无** 公开 PoC 或现成 Exp。⚠️ **在野**：暂无明确在野利用报告，但原理简单，编写 Exp 极易。

🔍 **自查**：检查是否存在 `/upload document` 接口。🧪 **测试**：使用注册用户身份尝试上传 `.php` 或 `.php5` 文件，观察是否被拦截或生成可访问 URL。

🩹 **补丁**：数据未提供官方补丁链接。📢 **参考**：Incibe CERT 已发布安全通告，建议联系厂商 Ofofonobs 获取修复方案。

🛡️ **规避**：1. 禁用上传功能。2. 配置 Web 服务器（Nginx/Apache）**禁止执行**上传目录下的 PHP 脚本。3. 严格限制文件扩展名白名单。

🔥 **优先级**：**高**。CVSS 评分极高（H/I/A:H），且利用条件简单（仅需注册）。建议立即隔离或应用临时缓解措施。