CVE-2024-45856 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MindsDB Web UI 存在 **XSS（跨站脚本）** 漏洞。 💥 **后果**：攻击者可注入并执行 **任意 JavaScript 代码**，导致会话劫持、数据窃取或页面篡改。

🔍 **CWE**：CWE-79（跨站脚本）。 📍 **缺陷点**：Web UI 未对用户输入进行充分过滤。当用户枚举 **引擎、数据库、项目或数据集** 时，包含恶意 JS 的字符串被直接渲染执行。

🏢 **厂商**：MindsDB。 📦 **产品**：MindsDB（低代码机器学习平台）。 📅 **披露时间**：2024-09-12。

🕵️ **权限**：需 **低权限** 用户交互。 📊 **数据**：可窃取 **Cookie/Session**、读取页面敏感数据、执行管理员操作（若管理员访问）。 ⚠️ **CVSS**：C:H/I:H/A:H（高机密性、高完整性、高可用性影响）。

🔑 **认证**：**PR:L**（需要低权限认证，即需登录）。 🖱️ **交互**：**UI:R**（需要用户交互，如点击或触发枚举操作）。 🌐 **网络**：**AV:N**（网络可攻击）。

📜 **PoC**：数据中 **pocs** 字段为空，暂无公开代码。 🌍 **在野**：暂无明确在野利用报告（基于提供数据）。 🔗 **参考**：Hidden Layer 安全公告。

🔎 **自查特征**：检查 Web UI 中 **引擎/数据库/项目/数据集** 的输入框。 🧪 **测试方法**：尝试输入 `<script>alert(1)</script>` 或类似 payload，看是否弹窗或执行。 📡 **扫描**：使用支持 XSS 检测的 WAF 或扫描器针对 MindsDB 界面扫描。

🛡️ **官方修复**：数据未提供具体补丁版本或缓解措施。 📢 **建议**：查阅官方 GitHub 或安全公告，确认是否已发布修复版本。

🚧 **临时规避**： 1. **最小权限**：限制 Web UI 访问用户。 2. **输入过滤**：在网关层拦截包含 `<script>` 等标签的请求。 3. **CSP**：配置严格的 **内容安全策略 (CSP)** 限制脚本执行。 4. **更新**：尽快升级到修复版本。

⚡ **优先级**：**高**。 📉 **风险**：CVSS 向量显示 **高严重性**（C:H/I:H/A:H）。 🎯 **建议**：立即评估影响范围，优先修复或实施缓解措施，防止会话劫持。