CVE-2024-52875 — 神龙十问 AI 深度分析摘要

🚨 **本质**：HTTP响应拆分漏洞。 💥 **后果**：攻击者可注入恶意HTTP标头，导致**缓存投毒**或**恶意重定向**，严重破坏Web应用安全。

🔍 **CWE**：CWE-113 (HTTP响应拆分)。 🐛 **缺陷点**：`Dest` 参数在生成302响应前**未正确清理**，允许非法字符注入。

🏢 **厂商**：GFI (马耳他)。 📦 **产品**：Kerio Control (统一威胁管理UTM)。 📌 **版本**：受影响版本包括 **9.2.5** 等旧版本。

🕵️ **权限**：无需高权限即可触发。 📊 **数据**：可窃取会话Cookie、注入恶意脚本或重定向用户至钓鱼网站，造成**高机密性/完整性/可用性**损失。

🚪 **门槛**：中等。 🔑 **认证**：CVSS显示 **PR:N** (无需认证)。 👀 **UI**：需 **UI:R** (用户交互)，即受害者需点击恶意链接或访问特定页面。

🧪 **Exp**：有现成PoC。 🔗 **来源**：ProjectDiscovery Nuclei模板已收录。 🌍 **在野**：暂无明确大规模在野利用报道，但风险极高。

🔎 **自查**：扫描HTTP响应中是否包含异常换行符或注入的`Dest`参数。 🛠 **工具**：使用Nuclei模板 `http/cves/2024/CVE-2024-52875.yaml` 进行自动化检测。

🛡️ **补丁**：官方已发布安全公告。 📅 **时间**：2025-01-31 公布。 ✅ **建议**：立即检查Kerio Control版本，升级至修复版本。

⚠️ **临时规避**： 1. 配置WAF拦截包含换行符的`Dest`参数。 2. 限制对Kerio Control管理界面的外部访问。 3. 启用严格的HTTP标头清理策略。

🔥 **优先级**：高。 📈 **CVSS**：高分漏洞 (C:H/I:H/A:H)。 💡 **建议**：虽需用户交互，但UTM设备通常暴露于公网，**务必尽快修复**，防止被利用进行中间人攻击或缓存投毒。