CVE-2024-56799 — 神龙十问 AI 深度分析摘要

🚨 **本质**：访问控制错误（IDOR/越权）。 💥 **后果**：本该**鉴权**的API接口，被**公开暴露**。 ⚠️ **风险**：未授权用户可直接调用敏感接口。

🔍 **CWE**：CWE-306（缺少身份验证）。 🐛 **缺陷点**：`RouteLoader` 类设计逻辑错误。 📉 **核心**：路由注册时，**未正确绑定**认证中间件。

📦 **产品**：TrueWinter simofa。 🛠️ **用途**：静态网站构建与部署工具。 📉 **版本**：**0.2.7 之前**的所有版本。

🕵️ **黑客能力**：绕过登录/Token校验。 📂 **数据风险**：直接访问受保护的API。 💣 **影响**：可能导致**数据泄露**或**非法操作**（CVSS评分高，C:H/I:H）。

🚪 **利用门槛**：**极低**。 🔑 **认证**：无需任何身份验证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 🎯 **复杂度**：低（AC:L）。

🧪 **PoC**：漏洞数据中 **PoCs 为空**。 🌍 **在野**：暂无公开在野利用报告。 🔗 **参考**：仅见官方Commit修复记录。

🔎 **自查方法**：检查 `RouteLoader` 配置。 📋 **扫描特征**：对疑似API端点发起**无Token**请求。 ✅ **验证**：若返回200 OK且含敏感数据，即存在漏洞。

🛡️ **官方修复**：**已修复**。 📅 **时间**：2024-12-30 公布。 🔗 **补丁**：见 GitHub Commit `1b04ba4` 及安全公告 GHSA-83qw-5qq5-v7pq。

🚧 **临时规避**：升级至 **0.2.7 或更高版本**。 🔒 **若无补丁**：在网关层**手动拦截**未鉴权的API请求。 🚫 **建议**：暂时**禁用**相关敏感API路由。

🔥 **优先级**：**高**。 📊 **CVSS**：向量显示危害性高（C:H/I:H）。 ⚡ **建议**：立即升级版本，避免静态站后台数据裸奔。