CVE-2024-52297 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露。Tolgee 3.81.1 将**所有配置属性**直接暴露给前端 `PublicConfigurationDTO`。💥 **后果**：攻击者可获取系统内部配置，导致**高机密性、完整性及可用性**风险（CVSS 全 H）。

🔍 **CWE**：CWE-200（信息泄露）。🛠️ **缺陷点**：后端 API 设计失误，未过滤敏感字段，将本应私有的配置数据直接序列化返回给公开接口。

🎯 **受影响**：Tolgee 平台。📦 **版本**：明确提及 **v3.81.1**。⚠️ 注意：作为多语言翻译平台，若部署在公网，风险极大。

🕵️ **黑客能力**：无需认证即可读取**所有配置属性**。📂 **数据风险**：可能包含数据库连接串、密钥、内部服务地址等敏感信息，为后续攻击铺路。

🚪 **利用门槛**：**极低**。📶 **条件**：网络可达（AV:N）、无需权限（PR:N）、无需用户交互（UI:N）。只要知道 API 端点，直接请求即可获取数据。

📜 **Exp 状态**：目前**无公开 PoC**（pocs 列表为空）。🌐 **在野利用**：未知。但鉴于 CVSS 评分高且利用简单，存在被自动化扫描利用的风险。

🔎 **自查方法**：检查 Tolgee 实例的公开配置 API 响应。📋 **特征**：响应体中包含非预期的敏感配置字段（如密钥、内部路径等）。使用工具扫描 `/api/public/configuration` 类似端点。

🛡️ **官方修复**：**已修复**。🔗 **参考**：GitHub PR #2481 和 #2689 已合并。建议立即升级到**最新版本**以应用补丁。

🚧 **临时规避**：若无法升级，尝试**限制 API 访问**（如通过防火墙/WAF 仅允许内网访问）。🚫 确保该公开接口不暴露在公网，或移除敏感配置项。

⚡ **优先级**：**紧急**。📈 **理由**：CVSS 3.1 评分极高（全 H），利用条件简单（无认证），且涉及核心配置泄露。建议**立即**升级或实施网络隔离。