CVE-2024-47062 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Navidrome 音乐服务器存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可绕过验证、窃取数据库敏感信息（如密码），甚至获取 **Admin 管理员权限**。

🔍 **CWE-89**：SQL注入。 🐛 **缺陷点**：URL 参数名称 **未正确转义**，且参数被自动拼接到 SQL `LIKE` 语句中，导致恶意代码注入。

🎵 **组件**：Navidrome (开源音乐流媒体服务器)。 📉 **版本**：**v0.52.5 及之前版本** 均受影响。

👑 **权限**：通过注入 `%` 可绕过登录，直接获得 **Admin 权限**。 📂 **数据**：利用 ORM 泄漏和盲注，可 **暴力破解** 加密密码，泄露用户敏感数据。

📶 **门槛**：**低**。 🔑 **认证**：无需认证即可利用 URL 参数注入。 ⚙️ **配置**：利用 URL 参数自动拼接特性，无需特殊配置即可触发。

📦 **PoC**：**有现成代码**。 🔗 参考：GitHub 上的 `CVE-2024-47062` PoC 及 ProjectDiscovery Nuclei 模板，可直接用于验证和攻击。

🔎 **自查**：扫描 URL 中是否包含 Navidrome 特定参数。 🧪 **测试**：尝试在 URL 添加参数（如 `password=...`），观察是否触发 SQL 错误或利用 `LIKE` 语句进行盲注探测。

🛡️ **已修复**：官方已在 **v0.53.0** 版本中修复。 📢 **建议**：立即升级至 v0.53.0 或更高版本，无其他已知临时规避措施。

⚠️ **无补丁方案**：官方声明 **无已知临时规避措施**。 🚫 **建议**：若无法立即升级，建议 **暂时下线** 服务或限制公网访问，直到打补丁。

🔥 **优先级**：**高**。 ⚡ **理由**：无需认证即可利用，且能直接获取 **管理员权限** 和 **密码数据**，风险极大，建议 **立即修复**。