CVE-2024-55457 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞(Directory Traversal)。 📉 **后果**:攻击者可读取服务器**任意文件**,导致敏感信息泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:`/adama/adama/downloadService` 接口。 ❌ **原因**:未对 `file` 参数进行**路径限制/验证**。
Q3影响谁?(版本/组件)
🎯 **目标**:MasterSAM Star Gate 应用程序。 📦 **版本**:v11 版本。
Q4黑客能干啥?(权限/数据)
💀 **能力**:通过操纵参数访问**任意文件**。 📂 **数据**:可能暴露服务器上的**敏感信息**(如日志、配置等)。
Q5利用门槛高吗?(认证/配置)
🔓 **门槛**:**极低**。 ⚠️ **关键**:该 API **无需认证**即可调用,匿名即可利用。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成代码。 🔗 参考:`github.com/h13nh04ng/CVE-2024-55457-PoC`。
Q7怎么自查?(特征/扫描)
🔎 **自查**:扫描 `/adama/adama/downloadService` 接口。 🧪 **测试**:构造包含 `../` 的 `file` 参数请求。
Q8官方修了吗?(补丁/缓解)
🛡️ **状态**:数据未提及官方补丁。 ⏳ **建议**:关注厂商 MasterSAM 后续更新。
Q9没补丁咋办?(临时规避)
🚧 **规避**: 1. 在 WAF/防火墙层**拦截**该接口。 2. 限制对 `/adama/` 路径的**外部访问**。 3. 强制要求该接口**身份验证**。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⚡ **理由**:无需认证 + 任意文件读取 = **高危**风险,建议立即缓解。