CVE-2024-47883 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Butterfly 框架对 URL 中 `file://` 协议处理不当。 💥 **后果**：引发 **路径遍历**、**SSRF** 及 **XSS** 攻击。

🔍 **CWE**：CWE-36（相对路径遍历）。 📍 **缺陷点**：未严格校验或过滤 URL 中的 `file` 协议参数。

📦 **厂商**：OpenRefine。 🧩 **组件**：simile-butterfly。 📉 **版本**：**1.2.6 之前**的所有版本。

🕵️ **黑客能力**： 1. 读取服务器敏感文件（路径遍历）。 2. 发起内网请求（SSRF）。 3. 注入恶意脚本（XSS）。

⚡ **门槛**：**极低**。 🔓 **认证**：无需认证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 🖱️ **交互**：无需用户交互（UI:N）。

📜 **Exp/PoC**：数据中未提供现成 PoC。 🌍 **在野**：暂无在野利用报告。 🔗 **参考**：见 GitHub Advisory。

🔎 **自查特征**： 1. 检查 Butterfly 版本是否 < 1.2.6。 2. 扫描 URL 中是否包含 `file://` 参数。 3. 检测响应中是否有文件内容泄露。

🛡️ **官方修复**：已发布安全公告。 🔧 **补丁**：见 GitHub Commit `537f64b`。 ✅ **建议**：升级至 **1.2.6 或更高版本**。

🚧 **临时规避**： 1. 限制对 Butterfly 服务的网络访问。 2. 在 WAF 中拦截含 `file://` 的恶意请求。 3. 禁用不必要的 `file` 协议支持。

🔥 **优先级**：**高**。 📊 **CVSS**：8.8 (High)。 ⚠️ **理由**：远程无认证即可利用，危害严重（C:H, I:H）。立即升级！