CVE-2024-46983 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SOFA-Hessian 反序列化漏洞，黑名单机制被绕过。 💥 **后果**：攻击者可执行任意代码，导致系统完全沦陷。

🔍 **CWE**：CWE-74（外部组件控制）。 🛠 **缺陷点**：反序列化过程中，原有的黑名单过滤逻辑存在缺陷，无法拦截恶意构造的序列化数据。

📦 **组件**：sofastack 出品的 **sofa-hessian**。 📉 **版本**：**3.5.4 之前**的所有版本均受影响。

👑 **权限**：获得服务器最高控制权（RCE）。 📊 **数据**：可读取、篡改、删除所有敏感数据。 🌐 **影响**：CVSS 评分极高，**机密性、完整性、可用性**全部受损（C:H/I:H/A:H）。

🚪 **门槛**：**低**。 🔑 **认证**：无需认证（PR:N）。 🌍 **网络**：网络可达即可（AV:N）。 ⚡ **复杂度**：攻击简单（AC:L），无需用户交互（UI:N）。

📜 **Exp**：官方披露页面已发布（GHSA-c459-2m73-67hj）。 ⚠️ **在野**：数据未明确提及大规模在野利用，但鉴于利用门槛低，风险极高。

🔎 **自查**：检查项目中是否依赖 `sofa-hessian` 库。 📋 **版本**：确认版本号是否 **< 3.5.4**。 🛡️ **扫描**：使用 SCA 工具扫描二进制序列化组件风险。

🛠 **修复**：官方已发布安全公告。 ✅ **方案**：升级至 **3.5.4 或更高版本** 即可修复此黑名单绕过问题。

🚧 **临时规避**：若无法立即升级，建议**禁用**不必要的反序列化功能。 🚫 **网络**：严格限制 SOFA-Hessian 相关接口的网络访问权限，仅允许可信 IP 访问。

🔥 **优先级**：**紧急**。 ⚡ **理由**：CVSS 向量显示为高危（AV:N/AC:L/PR:N/UI:N），无需认证即可远程利用，建议立即升级补丁。