CVE-2024-48920 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:访问控制错误(Broken Access Control)。 💥 **后果**:普通用户可伪装成管理员,执行高危操作,导致**数据泄露**和**系统完整性受损**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-306**:缺少正确的访问控制检查。 🐛 **缺陷点**:服务端未严格校验请求者身份,允许非特权用户通过构造请求越权。
Q3影响谁?(版本/组件)
📦 **产品**:Putong Online Judge (PutongOJ)。 🏢 **厂商**:acm309。 📉 **版本**:**2.1.0-beta.1 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限提升**:从普通用户直接升至**管理员级别**。 📂 **数据风险**:可访问敏感数据,篡改系统配置,危及平台安全。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛极低**。 🔓 **无需认证**:CVSS显示 PR:N (无需权限)。 🌐 **远程利用**:AV:N (网络攻击)。 🎯 **无需交互**:UI:N (无需用户界面交互)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **暂无公开 Exp**。 📄 **PoC**:数据中 pocs 字段为空,目前无已知现成利用代码或大规模在野攻击报告。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查系统是否为 PutongOJ 且版本 < 2.1.0-beta.1。 📡 **扫描特征**:监测针对该平台的异常管理员权限请求或越权访问日志。
Q8官方修了吗?(补丁/缓解)
✅ **已修复**。 🛠️ **补丁**:官方在 **v2.1.0-beta.1** 版本中修复了此漏洞。 🔗 **参考**:GitHub Release 页面及安全公告。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:若无法立即升级,建议**限制公网访问**,仅允许内网或信任IP访问。 🔒 **最小权限**:严格审查现有用户权限,禁用不必要的管理接口。
Q10急不急?(优先级建议)
🔥 **优先级:高**。 ⚠️ **理由**:CVSS 评分高(C:H, I:H),利用简单且无需权限,一旦被利用后果严重,建议**立即升级**至 v2.1.0-beta.1 或更高版本。