CVE-2024-45053 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:服务器端模板注入 (SSTI)。 💥 **后果**:攻击者可远程执行代码 (RCE),彻底接管系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-1336。 🐛 **缺陷**:缺乏输入清理,且渲染环境无限制,导致恶意模板代码被执行。
Q3影响谁?(版本/组件)
🎯 **产品**:Ethyca Fides (隐私工程平台)。 📦 **版本**:2.19.0 至 2.44.0 (不含2.44.0)。
Q4黑客能干啥?(权限/数据)
👮 **权限**:远程代码执行 (RCE)。 📂 **数据**:可访问服务器所有数据,完全控制运行环境。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:需 **H (High)** 权限。 ⚠️ **注意**:攻击者需具备认证身份才能利用,非完全匿名攻击。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:目前 **无** 公开 PoC 或已知在野利用。 🔒 **状态**:仅通过代码提交修复,暂无武器化 exploit。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Fides 版本是否在 2.19.0 - 2.43.x 区间。 🛠️ **扫描**:针对 SSTI 特征进行模板注入扫描。
Q8官方修了吗?(补丁/缓解)
✅ **补丁**:已修复。 🔗 **来源**:GitHub Commit `829cbd9` 及安全公告 GHSA-c34r-238x-f7qx。
Q9没补丁咋办?(临时规避)
🛡️ **规避**:升级至 **2.44.0 或更高版本**。 🚫 **限制**:若无补丁,严格限制模板输入,实施最小权限原则。
Q10急不急?(优先级建议)
🔥 **优先级**:**高 (Critical)**。 📈 **CVSS**:9.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**:虽需认证,但危害极大,建议立即升级。